了解如何以及应该如何保护您的数据和用户数据免受可能试图窃取数据的潜在攻击者的侵害至关重要。本模块涵盖了加固网站以增加数据窃取难度,以及以尊重用户的方式收集用户数据,避免跟踪他们或与不当的第三方共享数据。
通用资源
5. 安全与隐私
最佳实践
扩展模块
5.1 安全与隐私基础
注意:
- 符合本模块中的所有标准并不意味着学生将成为合格的安全工程师,但同样重要的是,Web 开发人员需要了解 Web 安全和隐私的基础知识。
- 学生还应了解,许多安全问题是由服务器端代码问题引起的,或者是客户端和服务器端代码组合的问题。大量代码应该会带来很少的安全风险,前提是浏览器能够正常工作。
学习成果
-
了解安全与隐私之间的区别。
-
从高层次理解通用的 HTTP 模型。
-
了解 HTTPS 是什么,以及它为何重要。
-
同源安全
-
为什么这是 Web 的基础。
-
绕过它的安全方法,例如跨域资源共享 (CORS)。
-
-
Cookie 的存储方式,以及它们在安全和隐私方面的影响,例如跟踪。
-
了解安全问题通常会发生的情况
-
当要求用户提供敏感数据(如密码或信用卡数据)并将其传输到服务器时。
-
当从服务器请求数据时。
-
当服务器之间传输数据时(例如,当服务器从 Web 服务请求数据时)。
-
通过设置 cookie 或其他机制来保留用户状态时。
-
-
了解常见的安全威胁以及如何缓解它们
-
跨站脚本 (XSS)。
-
跨站请求伪造 (CSRF)。
-
点击劫持。
-
拒绝服务 (DoS)。
-
-
了解其他重要技术的作用,例如
-
内容安全策略 (CSP)。
-
权限策略。
-
用于用户激活“强大功能”的 Web 模型(又称暂时激活)。
-
资源
5.2 数据保护法律
学习成果
-
理解与用户隐私相关的基本概念
-
个人身份信息 (PII)。
-
保密性。
-
跟踪。
-
指纹识别。
-
-
了解地区性隐私法规,例如
-
通用数据保护条例 (GDPR) (欧盟)。
-
2018 年数据保护法 (英国),gov.uk。
-
加州消费者隐私法 (2018) (美国,加州),ca.gov。
-
儿童在线隐私保护规则 (COPPA) (美国),ftc.gov。
-
-
了解如何遵守此类法律,包括实际的实施。
注意:
遵守上述标准并不要求学生成为隐私法的法律专家,但他们应该了解这些法律的含义,以及它们如何影响他们的工作。
资源
- GDPR 合规性完整指南,gdpr.eu