HTTPヘッダ

商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ - A Memorandum

http://sinsengumi.net/blog/2012/04/httpservletrequestwrapper%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%80%81http%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%82%92%E6%94%B9%E5%A4%89%E3%81%99%E3%82%8B/

Java EE セキュリティ

Java EE Security APIが街にやってきた！ - Qiita

CSRF

このWeb APIってCSRF対策出来てますか？って質問にこたえよう - Qiita

覚え書き: Rails で CSRF トークン検証エラーが出ることがある

さよならCSRF(?) 2017 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

JSF

JSFにおけるXSS、XSRF対策 - kounan13の日記

シリアライズ

シリアライズ・フィルタリング

全般

何が必要か、というキーワードとして

Spring Security入門 | 株式会社カサレアル ラーニングサービス

---

どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ？ - co3k.org

---