Laravelアプリケーションのセキュリティ

安全な Laravel アプリケーションを構築することは、時々後付けのように感じるかもしれませんが、Stephen Rees-Carter が Laracon AU 2024 でいくつかの重要な知識を落としてくれたので、いくつかのことを再考させられました。 Stephen はすべてを見てきた倫理的ハッカーです。つまり、彼は多くの Laravel アプリをハッキングしており、すべては私たちのような開発者が見落としがちな亀裂に気づくのを助けるためです。

彼の洞察に触発されて、Laravel プロジェクトの保護に大きな違いをもたらす可能性がある、最も見落とされているセキュリティ手順のガイドを作成しました。中身はこんな感じです:

1. 古いパッケージ – 私たちは皆、処理を高速化するためのライブラリが大好きですが、定期的に更新していない場合、基本的にドアを開けっ放しにしていることになります。必要と思われるよりも頻繁に、composer update を実行してください。
2. セキュリティで保護されたセッション Cookie – 小さな .env 設定が、安全な Cookie と盗みやすい Cookie の違いとなる可能性があります。これは簡単な修正であり、後で自分自身に感謝することになります。
3. HSTS 暗号化 – 中間者攻撃?いいえ、いいえ、ありがとうございます。 HSTS を設定すると、ユーザーは常に HTTPS を使用することになり、これらの攻撃が非常に困難になります。
4. Blade 構文の落とし穴 – {を混同している場合は!! !!} と {{ }} を使用すると、XSS の脆弱性が発生する危険があります。小さな構文ミスは大きな結果をもたらします。
5. Markdown のリスク – 適切なオプションを使用せずに Markdown をレンダリングすると、気づかなかった扉が開く可能性があります。構成をいくつか調整することで、より安全になります。
6. サードパーティのコードを信頼する – CDN は素晴らしいものですが、整合性ハッシュを追加することで安全性が保たれます。リンクをコピーして先に進むのではなく、ハッシュを確認してください!

すべてが明白に聞こえるかもしれませんが、これらの手順が 1 つでも欠けていると、アプリが危険にさらされたままになる可能性があります。完全なローダウンが必要ですか?ここをお読みください: https://laraveleco.com/how-to-keep-your-laravel-application-hacker-free/

以上がLaravelアプリケーションのセキュリティの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。