この内容だと「自分が勝手に思ってる」だけで「なぜそういう考えに至ったか」という前提や背景がないように見受けられます。 この手のセキュリティ対策は調べれば幾らでも出てくるわけですし、今回質問に至った出典を明示されたほうが良いかと。 要件次第でもあるので、結局は作る人・運営する人が決めるしかないと思います。 やりすぎると使いにくいし、対応が甘いと利用者に迷惑がかかるという「バランス」が難しいものなので。

＞要件次第でもある うーん、そういう話ではないっすね。 要件次第でXSS対策やCSRF対策をあえてしなくて良い…なんてありえます？ 基本的には利用者に迷惑がかかる「セキュリティ対策」なんてないと思いますが。

>なんてありえます？ では、なぜ質問したのでしょう。 あまり例えだけで進められても本質的なアドバイスは得られないと思います。 そして、確実さを目指すなら変に例えで赤の他人に投げるより専門家にコンサルとして入ってもらったほうが良いです。 あまりに全てやり過ぎると使いづらくなるのは事実としてあります。セキュリティ対策は幅広く細かいですから。すべて把握した上で「どこまでやるか」を決めるのが要件です。 １つだけピックアップしても要件定義の甘さを突っ込まれるだけだと思います。

m.tsさんはあらゆる人の質問に対して毎回毎回つまらない揚げ足取りのツッコミばかりで何の生産性もないので、もう絡まないでいただきたいです。たとえば徳丸先生を見習ってください。あなたとは次元が違うレベルの雲の上の人なのに、ド素人のアホみたいな質問にも嫌な顔ひとつせず、なんとか答えようとしてくれる神のような人です。 全く建設的ではない嫌味なお説教ばかりするm.tsさん（他、似たような人が数名）は各所で嫌われています。少しは自覚してください。

ド素人のアホと思ってないための確認なのですが、それを揚げ足取りと。 質問者回答者含め私は誰とも敵対しようとも勝負しようとも思ってません。既についた回答が間違いとも思ってない。いちおうそれなりに長くWebエンジニアとしてやってきた経験からのアドバイスです。 それだけセキュリティ対策って簡単ではないし本当にちゃんとやりたいならちょっと質問してなんとかなる範疇ではないものです。 「例えば」で押し通そうとされてるようにも思いますが、それだと調べて出てくる範囲のアドバイスしかしようがないと思います。 なので、「必要ないと思うならそれでいいのでは」と感じる人も少なくないと思います。 その徳丸さんも「ご覧になった解説がイケてないのでは」と仰っています。その解説がイケてないものなら、あなたのような人が引っかからないように著者に指摘しないといけません。 そのため最初に「前提や背景、出典の明示を」と書いています。より確実な要件や情報が必要なのです。 そこまで考えての指摘であるということが伝われば良いのですが、既に私を無駄に敵視されてるようですし、それこそ建設的な話にはならなそうですね。議題としては良いものなのに非常に残念。 勘違いされてるかもしれないのでお伝えしておきますが、状況次第でかなり良い議題やついたアドバイスから良い情報も得られそうなので私はこの質問に低評価していません。が、3つも低評価ついてるということは、やはり前提や背景が不足している（具体的な問題の記載がない）ところによるのではないでしょうか。

＞質問者回答者含め私は誰とも敵対しようとも勝負しようとも思ってません 少しは自覚してください。 あなたも、そして「低評価を押しまくるのが生きがい」の数人の人たちも。 そんなことやってるからteratailは初心者に嫌われて過疎化するのです。こんなところでまで怒られたりネチネチ詰められたりしたくないんですよ、みんな。Q&Aサイトがド素人をイビって何の意味がありますか？ あなたが毎回善意から一生懸命やってるのはよく分かります。しかしそれを受け取る人の大半は快く思っていません。「自覚してほしい」と書いたのはそういうことです。善意だったらなんでも許されるわけじゃありません。「善意の押し付けでみんながウンザリすること」があるって、わかるでしょう。 一部の回答者によるネチっこい善意の押しつけと厳しすぎる「教育姿勢」によって、空気がギスギスしてるんですよ、teratailは。

本当に建設的な話にしたいのでしたら「回答者への個人的批判」は単なる人格攻撃に成り下がるので一度置かれたほうが良いかと。

あなたもいつも質問者への個人的批判を含むような攻撃的な「質問への追記・修正依頼」が多いですよ。 何度も言いますが、少しは自覚してください。