5. 安全与隐私

最佳实践

扩展模块

了解如何保护您的数据以及用户数据免受可能试图窃取数据的攻击者的攻击至关重要。本模块涵盖了加强网站以使其更难以窃取数据，以及以尊重用户的方式收集用户数据，避免跟踪他们或将其与不合适的第三方共享。

通用资源

5.1 安全与隐私基础

注意:

遵守本模块中的所有标准并不能使学生成为合格的安全工程师，但对于 Web 开发人员来说，了解 Web 安全和隐私的基础知识同样重要。

学生还需要了解，许多安全问题是由服务器端代码问题或客户端和服务器端代码组合引起的。如果浏览器正常工作，许多代码应该几乎不会带来安全风险。

学习成果

了解安全和隐私之间的区别。
从高级别理解一般的 HTTP 模型。
了解什么是 HTTPS 以及它为什么重要。
同源策略
- 为什么这对 Web 至关重要。
- 安全绕过它的方法，例如跨源资源共享 (CORS)。
Cookie 如何存储以及其安全和隐私影响，例如跟踪。
了解安全问题通常发生的情况
- 当要求用户提供敏感数据（例如密码或信用卡数据）并将其传输到服务器时。
- 当从服务器请求数据时。
- 当在服务器之间传输数据时（例如，如果服务器从 Web 服务请求数据）。
- 当通过设置 Cookie 或其他机制来保留用户状态时。
了解常见的安全威胁以及如何缓解这些威胁
- 跨站脚本 (XSS)。
- 跨站请求伪造 (CSRF)。
- 点击劫持。
- 拒绝服务 (DoS)。
了解其他重要技术的用途，例如
- 内容安全策略 (CSP)。
- 权限策略。
- Web 模型用于用户激活“强大功能”（又名瞬时激活）。

资源

学习成果

了解与用户隐私相关的基本概念
- 个人身份信息 (PII)。
- 机密性。
- 跟踪。
- 指纹识别。
了解区域隐私法律，例如
- 通用数据保护条例 (GDPR) (欧盟)。
- 2018 年数据保护法案 (英国)，gov.uk。
- 加州消费者隐私法案 (2018) (美国，加州)，ca.gov。
- 儿童在线隐私保护规则 (COPPA) (美国)，ftc.gov。
了解如何在实践中遵守这些法律。

注意:

遵守上述标准并不需要学生成为隐私法律方面的专家，但他们应该了解这些法律的影响以及这对他们的工作有何影响。

资源