Есть только одна вещь, которой не хватает в этой инструкции — не используйте AWS, хоститесь вместо этого в датацентрах, где вы сами контролируете, как и где хранятся данные (имеется в виду, что делать так нужно в случае, когда вы действительно хотите иметь хороший security).
К сожалению, иногда так бывает с переводами, что они делаются параллельно разными людьми. Однако появление этого материала в двух местах говорит лишь о его актуальности.
hsts preload для первого реквеста?
Используйте CSRF-токены во всех формах, применяйте новый атрибут куки-файлов SameSite для защиты от CSRF-атак. Его поддерживают современные версии браузеров.

А вот с этим проблема. На данный момент SameSite поддерживается только в Chrome и Chromium-браузерах.

Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.