3.5　本章小结

•使用ZAP的安全测试可以在CI上自动执行，并将安全反馈立即提供给开发人员。

•跨站脚本攻击会将恶意代码注入Web应用中，可以使用字符转义和内容安全策略来阻止。

•跨站请求伪造攻击会滥用网站之间的链接，应该使用CSRF令牌阻止。

•点击劫持是滥用IFrame的结果，可以通过CSP和X-Frame-Options标头来阻止。

•HTTP基本身份认证提供了一种简单的方法对用户进行身份认证，但是却不能在传输过程中保护凭证信息的机密性。

•Web应用应该尽可能通过身份提供商来对用户进行身份验证，以避免在本地存储密码。

•编程语言提供了保持应用与时俱进的机制，并可以集成到CI测试之中。

[1]在第3章源代码仓库的main.go文件中，可以找到checkCSRFToken（）这个方法的实现。——译者注