เคล็ดลับด้านความปลอดภัยสำหรับนักพัฒนา Frontend
(medium.com)หลักปฏิบัติด้านความปลอดภัยพื้นฐานเพื่อป้องกัน XSS, Clickjacking, SQL Injection เป็นต้น
-
จำกัดข้อมูลนำเข้าจากผู้ใช้: DOMPurify, Secure-filters
-
ระมัดระวังการใช้ hidden: ZAP
-
เพิ่มเฮดเดอร์ content-security-policy(CSP)
-
เพิ่มเฮดเดอร์โหมดป้องกัน XSS
-
ใช้ textContent แทน innerHTML
-
เพิ่ม X-Frame-Options : Deny - ป้องกันการฝังผ่าน iframe
-
ทำให้ข้อความแสดงข้อผิดพลาดเป็นแบบทั่วไป: "รหัสผ่านไม่ถูกต้อง" → "ข้อมูลเข้าสู่ระบบไม่ถูกต้อง"
-
ใช้ Captcha: หน้าเข้าสู่ระบบ, สมัครสมาชิกและลงทะเบียน, Contact เป็นต้น
-
เพิ่มเฮดเดอร์ Referrer-Policy หรือเพิ่ม rel=noopener ในแท็ก a
-
เพิ่มเฮดเดอร์ Feature-Policy
-
รัน npm audit เป็นประจำ
-
แยกโดเมนฝั่ง Frontend ตามหน้าที่การใช้งาน
-
ระมัดระวังเมื่อเรียกใช้บริการจากภายนอก: ตั้งค่า CSP และใช้คุณสมบัติ integrity ตอนโหลดสคริปต์
ยังไม่มีความคิดเห็น