序文
本書を読み進める前に
本書を読むにあたって
サンプルコードと動作環境を手に入れる
開発者ツールに慣れ親しむ
第1章 WebとWebセキュリティ
1.1 Webを構成する基本の3つのコンポーネント
1.2 プラットフォームとしてのWeb
1.3 Webセキュリティ
1.4 サーバーサイドWebシステムのセキュリティ
1.5 クライアントサイドWebシステムのセキュリティ
1.6 まとめ
第2章 Origin を境界とした基本的な機構
2.1 Webリソース間の論理的な隔離にむけて
2.2 OriginとSame-Origin Policy(SOP)
2.3 CORS(Cross-Origin Resource Sharing)
2.4 CORSを用いないSOPの緩和方法
2.5 SOPの天敵、XSS(Cross-Site Scripting)
2.6 CSP(Content Security Policy)
2.7 Trusted Types
2.8 まとめ
第3章 Webブラウザのプロセス分離によるセキュリティ
3.1 Webブラウザが単一のプロセスで動作することの問題
3.2 プロセスを分離した場合の問題
3.3 Process-per-Browsing-Instanceモデルに対する攻撃
3.4 Process-per-Site-Instanceモデルとその補助機能
3.5 まとめ
第4章 Cookie に関連した機構
4.1 Cookieの導入の動機
4.2 属性によるCookieの保護
4.3 Cookieの性質が引き起こす問題とCookieの今後
4.4 まとめ
第5章 リソースの完全性と機密性に関連する機構
5.1 問題と脅威の整理
5.2 HTTPSとHSTS
5.3 Mixed Contentと安全でないリクエストのアップグレード
5.4 Webブラウザが受け取るデータの完全性とSRI
5.5 Secure Context
5.6 まとめ
第6章 攻撃手法の発展
6.1 3種類の攻撃手法
6.2 CSP下でのXSS
6.3 Scriptless Attack
6.4 サイドチャネル攻撃
6.5 まとめ
あとがき
参考文献
索引