takc-techチェックリスト
作成日時:2025-05-09
更新日時:2025-05-09
システム開発における個人的なチェックリスト。
セキュリティ
- CORS
- SOPはアドレス直打ちには効かない
- パスワード
- ソルト
- 試行回数
- ロック
- ポリシー
- BCrypt
- 2FA
- CIA
- 認証
- JWT有効期限。トークン盗まれても被害は最小
- 認可
- リソース
- 認証
- HSTS
- CSP
- CSRF
- リファラチェック
- サニタイジング
SEO/パフォーマンス
- JSON-LD
- sitemap.xml
- robots.txt
- クローラにAPIが叩かれないように
- LLMs.txt
- metaタグ
- ogp
- PageSpeed Insights
- a11y
- モバイルフレンドリー対応(レスポンシブとか)
- HTTPS
- 画像最適化
- ウェブ解析ツールの導入(GTM)
ファイルアップロード
- サイズ(WAF/FW)
- 頻度
- 文字コード
- BOM
- 改行コード
- エスケープ
- 囲み文字
- ウイルス
- exif
- Zip爆弾
DB/SQL
- 最少・最少・最短・最速の原則
- IN句が空になる可能性
- UPSERT時にON CONFLICTで更新する値
- 実際にUPDATEされる内容がexcludeに入る
- データ量
- 適切なインデックス
- 量が多いならLIMITかけたり
- VACUUM/ANALYZE
- 大量データ投入後とか
- 実行計画
- ロック
- 分離レベル
- タイムアウト
- statement_timeout
- deadlock_timeout
運用
- ファイル、ログを消す間隔の同意
- 運用、保守範囲の同意
- アラート発生時のフロー
- x-forwarded-for