セキュリティ

セキュアなアプリケーションを構築することで、ユーザーと X プラットフォームの両方を保護できます。このガイドでは、X API 開発者にとって必須のセキュリティプラクティスについて説明します。

基本要件

TLS が必要

すべての API リクエストは HTTPS を使用する必要があります。プレーン HTTP は拒否されます。

認証情報のセキュリティ

API キーやトークンを、クライアントサイドのコード、ログ、リポジトリに公開しないでください。

認証情報の保護

API キーとトークンはアプリの鍵です。安全に保管してください:

環境変数を使用

認証情報はコードではなく環境変数に保存します。

export X_API_KEY="your-api-key"
export X_API_SECRET="your-api-secret"

シークレットをコミットしない

認証情報ファイルを .gitignore に追加します。誤ったコミットを防ぐために git-secrets などのツールを使用してください。

定期的にローテーション

定期的にキーを再生成し、漏洩が疑われる場合は直ちに行います。

最小限の権限を使用

アプリが実際に必要とする OAuth スコープのみをリクエストします。

認証情報が漏洩した場合

Developer Console で 直ちに再生成
古いトークンを無効化 — 再生成すると古い認証情報は自動的に無効になります
使用状況を監査 — 不正な API アクティビティがないか確認します
アプリを更新 — すべての環境に新しい認証情報をデプロイします

アプリケーションのセキュリティ

入力の検証

ユーザー入力を信頼しないでください。使用前にすべてのデータを検証およびサニタイズしてください:

# 悪い例 - インジェクション脆弱性
query = f"from:{user_input}"

# 良い例 - まず入力を検証
import re
if re.match(r'^[a-zA-Z0-9_]{1,15}$', user_input):
    query = f"from:{user_input}"

出力のエンコーディング

XSS を防ぐために、HTML に表示する前に X API データをエスケープします:

// 悪い例 - XSS 脆弱性
element.innerHTML = tweet.text;

// 良い例 - HTML をエスケープ
element.textContent = tweet.text;

防止すべき一般的な脆弱性

脆弱性	予防策
XSS	レンダリング前にすべてのユーザー生成コンテンツをエスケープ
CSRF	フォームで anti-CSRF トークンを使用、OAuth state パラメータを検証
SQL インジェクション	パラメータ化されたクエリを使用、ユーザー入力を絶対に連結しない
オープンリダイレクト	コールバック URL を許可リストと照合して検証

OAuth セキュリティ

State パラメータ

CSRF を防ぐために、OAuth フローでは常に state パラメータを使用してください:

import secrets

# 認可前に state を生成
state = secrets.token_urlsafe(32)
session['oauth_state'] = state

# コールバック後に state を検証
if request.args.get('state') != session.get('oauth_state'):
    abort(403)  # State 不一致 - CSRF の可能性

トークンの保管

トークンの種類	推奨される保管方法
Access tokens	暗号化されたデータベースまたは安全な保管庫
Refresh tokens	追加のアクセス制御を伴う暗号化データベース
Bearer tokens	環境変数または安全な設定

安全な開発プラクティス