瞭解如何以及應該如何保護您的資料和使用者資料免受可能試圖竊取資料的潛在攻擊者的侵害至關重要。本模組涵蓋了加固網站以增加資料竊取難度,以及以尊重使用者的方式收集使用者資料,避免跟蹤他們或與不當的第三方共享資料。
通用資源
5. 安全與隱私
最佳實踐
擴充套件模組
5.1 安全與隱私基礎
注意:
- 符合本模組中的所有標準並不意味著學生將成為合格的安全工程師,但同樣重要的是,Web 開發人員需要了解 Web 安全和隱私的基礎知識。
- 學生還應瞭解,許多安全問題是由伺服器端程式碼問題引起的,或者是客戶端和伺服器端程式碼組合的問題。大量程式碼應該會帶來很少的安全風險,前提是瀏覽器能夠正常工作。
學習成果
-
瞭解安全與隱私之間的區別。
-
從高層次理解通用的 HTTP 模型。
-
瞭解 HTTPS 是什麼,以及它為何重要。
-
同源安全
-
為什麼這是 Web 的基礎。
-
繞過它的安全方法,例如跨域資源共享 (CORS)。
-
-
Cookie 的儲存方式,以及它們在安全和隱私方面的影響,例如跟蹤。
-
瞭解安全問題通常會發生的情況
-
當要求使用者提供敏感資料(如密碼或信用卡資料)並將其傳輸到伺服器時。
-
當從伺服器請求資料時。
-
當伺服器之間傳輸資料時(例如,當伺服器從 Web 服務請求資料時)。
-
透過設定 cookie 或其他機制來保留使用者狀態時。
-
-
瞭解常見的安全威脅以及如何緩解它們
-
跨站指令碼 (XSS)。
-
跨站請求偽造 (CSRF)。
-
點選劫持。
-
拒絕服務 (DoS)。
-
-
瞭解其他重要技術的作用,例如
-
內容安全策略 (CSP)。
-
許可權策略。
-
用於使用者啟用“強大功能”的 Web 模型(又稱暫時啟用)。
-
資源
5.2 資料保護法律
學習成果
-
理解與使用者隱私相關的基本概念
-
個人身份資訊 (PII)。
-
保密性。
-
跟蹤。
-
指紋識別。
-
-
瞭解地區性隱私法規,例如
-
通用資料保護條例 (GDPR) (歐盟)。
-
2018 年資料保護法 (英國),gov.uk。
-
加州消費者隱私法 (2018) (美國,加州),ca.gov。
-
兒童線上隱私保護規則 (COPPA) (美國),ftc.gov。
-
-
瞭解如何遵守此類法律,包括實際的實施。
注意:
遵守上述標準並不要求學生成為隱私法的法律專家,但他們應該瞭解這些法律的含義,以及它們如何影響他們的工作。
資源
- GDPR 合規性完整指南,gdpr.eu