Webサービス公開前のチェックリスト¶
チェック¶
- [ ] 本文を確認した
- [ ] 概要を確認した
- [ ] タグを確認した
- [ ]
inbox/直下へ移行した
概要¶
Web サービス公開前に確認したい観点を、セキュリティ、ログイン、メール送信、SEO、複数環境、その他運用観点でまとめたチェックリスト。 Cookie 属性、サーバーサイド validation、SQL injection、open redirect、権限チェック、バックアップ、SPF / DKIM / DMARC、HSTS、CSP、ブラウザ差異などが含まれる。 個人開発や小規模サービスでも、本番公開前の抜け漏れ確認に使いやすい。
本文¶
記事は、著者が過去のミスや情報収集から蓄積した公開前チェックをまとめたもの。 サービス要件によって当てはまらない項目はあるが、公開前に見落としがちな観点が広く整理されている。
セキュリティでは、認証 Cookie に HttpOnly、SameSite=Lax または Strict、Secure、適切な Domain が設定されているかを確認する。
ユーザー入力はクライアントだけでなくサーバー側でも validation する。
URL 入力では protocol 制限、HTML 出力では sanitize / escape、SQL では injection、redirect では open redirect を確認する。
重要操作では直前ログインを求める。 ユーザーごとに内容が変わるレスポンスを CDN や KVS に cache していないか、更新・削除処理に権限チェックがあるか、DELETE / UPDATE に適切な WHERE があるかも確認する。
ログインでは、メールアドレス本人確認、メールアドレス列挙防止、複数ログイン方式の同一ユーザー扱い、メールアドレス変更や連携アカウント変更の仕様を確認する。
メール送信では、ユーザー入力が spam に悪用されないか、大量通知が発生しないか、SPF / DKIM / DMARC、重複送信防止、購読解除、List-Unsubscribe-One-Click を確認する。
SEO では title、canonical、エラーページの status code、検索結果ページの noindex / canonical を確認する。 複数環境では、スマホ・タブレット、OS / browser 差異、font-family、Safari / Firefox、長い入力値による UI 崩れを確認する。
その他、Safari ITP による localStorage / Cookie の 7 日制限、3rd party Cookie 依存、html lang="ja"、server error の検知、404 / 50x ページ、favicon、apple-touch-icon、アクセス解析、電気通信事業者の申請、サービス名の他言語での意味などが挙げられている。
要点¶
- 公開前チェックは security だけでなく、SEO、メール、UI、運用検知まで含める。
- Cookie、権限、redirect、cache、backup は事故につながりやすい。
- ブラウザ差異と長い入力値による UI 崩れは見落とされやすい。
- 小規模サービスでも本番公開前の checklist として有用。