HTTPヘッダ
商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ - A Memorandum
HttpServletRequestWrapperを使って、HTTPリクエストを改変する - sinsengumi血風録
Java EE セキュリティ
Java EE Security APIが街にやってきた! - Qiita
CSRF
このWeb APIってCSRF対策出来てますか?って質問にこたえよう - Qiita
覚え書き: Rails で CSRF トークン検証エラーが出ることがある
さよならCSRF(?) 2017 - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】