フロントエンド開発者のためのセキュリティのヒント
(medium.com)XSS、Clickjacking、SQL Injection などを防ぐための基本的なセキュリティ指針
-
ユーザー入力の制限 : DOMPurify、Secure-filters
-
hidden の使用に注意 : ZAP
-
content-security-policy(CSP) ヘッダーを追加
-
XSS 防止モードのヘッダーを追加
-
innerHTMLの代わりにtextContent -
X-Frame-Options : Deny を追加 - iframe 埋め込み防止
-
エラーメッセージの一般化 : "パスワードが間違っています" → "ログイン情報が正しくありません"
-
Captcha を使用 : ログイン、会員登録および登録、Contact などのページ
-
Referrer-Policy ヘッダー、または a タグに rel=noopener を追加
-
Feature-Policy ヘッダーを追加
-
定期的に
npm auditを実行 -
フロントのドメインを機能別に分離する
-
サードパーティサービス呼び出し時に注意する : CSP 設定とスクリプト読み込み時に integrity 属性を適用
まだコメントはありません。