• Новости

Фронтенд-безопасность в 2025 году: ключевые риски и стратегии защиты

Рассмотрим три основных направления, требующих особого внимания при обеспечении безопасности клиентского кода.

Безопасное хранение токенов и работа с cookies:

Часто встречающаяся ошибка — хранение access-токенов в localStorage или доступных JavaScript cookies, что делает их уязвимыми для XSS-атак и вредоносных расширений. Рекомендуется использовать HttpOnly и Secure cookies с атрибутом SameSite=Strict, если это позволяет архитектура приложения. Это минимизирует риски и делает токены недоступными через JavaScript.

Уязвимости при рендеринге пользовательского HTML:

Вставка пользовательского ввода в DOM без должной обработки может привести к XSS-уязвимостям. Особенно это актуально для проектов на React, Vue или Angular, где используются кастомные виджеты и редакторы. Рекомендуется проводить статический анализ потенциально опасных вставок, использовать библиотеки для XSS-защиты, такие как DOMPurify или sanitize-html, и тщательно проверять логику, работающую с raw HTML.

Настройка Content Security Policy (CSP):

CSP является эффективным механизмом предотвращения XSS и загрузки вредоносных скриптов. Однако часто он либо не используется, либо настроен неправильно, что может блокировать легитимные сценарии. Рекомендуется внедрять сбалансированную стратегию CSP, блокируя инлайн-скрипты, eval и небезопасные источники, при этом не мешая работе легитимных инструментов, таких как аналитика или платежные системы. Также важно интегрировать проверку CSP в процессы CI/CD, чтобы изменения не нарушали политику безопасности.

В условиях современных угроз важно регулярно проводить аудит фронтенд-безопасности, особенно если ваше приложение обрабатывает чувствительные данные, использует сторонние библиотеки или не проходило аудит в последние 12 месяцев. Это поможет выявить и устранить уязвимости, обеспечив надежную защиту данных пользователей.

Полную версию статьи можно посмотреть здесь.

Нравится: Evrone

Evrone
еще 191 публикация

Лучшее в блогах

27.11.2025

Новости НРФ’9: официальный журнал доступен в цифровом формате

09.12.2025

Новая эра медиа: интеграция каналов, доверие аудитории и стратегии роста

04.12.2025

Итоги конференции Group4Media «Этот год — следующий год. Искусство эффективности»

04.12.2025

Кейс UM, Points Lab, АДВ+Эндемика и «Самолет»: как с математической точностью измерить эффективность маркетинга в недвижимости

Вам понравится

ОСМИ ИТ

Вчера

Сервис прогнозирования поставок на склады маркетплейсов по модели FBO для международного бренда канцелярских товаров

IT и инновации Ритейл

Бизнес сталкивается с дисбалансом запасов: одни SKU быстро уходят в Out of Stock и теряют выручку, другие «зависают» на складе и замораживают оборотные средства. Нужен сервис, который прогнозирует продажи и спрос, поставки на склады маркетплейсов и формирует рекомендации для категорийных менеджеров и логистов. Это инструмент управления запасами, автоматизирующий расчёты и планирование поставок на Ozon и Wildberries.

SpaceWeb

10.12.2025

SpaceWeb запускает зарубежные VPS-серверы

Digital IT и инновации

Пользователям стали доступны виртуальные серверы и IP-адреса для работы с международными проектами.

Media Bay

17.11.2025

UX-тексты через призму Jobs to Be Done: разбор лендинга с практической пользой

Digital Контент

UX-тексты — это полноценные элементы интерфейса, такие же функциональные, как формы и CTA. Они помогают пользователю пройти путь от первого контакта до целевого действия. Хорошо написанные тексты ведут по сценарию, показывают ценность продукта и напрямую влияют на конверсию.
Но никакой талант UX-редактора не спасёт, если тексты пишутся без опоры. Чтобы слова работали, важно понять, какую задачу человек решает, когда выбирает конкретный продукт. Здесь в игру вступает подход Jobs to Be Done.

ESSG consulting

13.11.2025

ИИ-агенты для бизнеса: компании фиксируют высокий ROI от внедрения | ESSG Consulting

Digital IT и инновации

Компании начинают получать реальную отдачу от внедрения ИИ-агентов. Искусственный интеллект переходит из категории перспективных технологий в инструменты, приносящие измеримую прибыль.