Новости
СберМаркетинг
27.11.2025
ADPASS рекомендует материал к прочтению
Evrone
Фронтенд-безопасность в 2025 году: ключевые риски и стратегии защиты
В 2025 году фронтенд-приложения стали неотъемлемой частью бизнес-логики, управляя сессиями, обрабатывая чувствительные данные и взаимодействуя с API. Однако с ростом их функциональности увеличиваются и риски безопасности.
Рассмотрим три основных направления, требующих особого внимания при обеспечении безопасности клиентского кода.
Безопасное хранение токенов и работа с cookies:
Часто встречающаяся ошибка — хранение access-токенов в localStorage или доступных JavaScript cookies, что делает их уязвимыми для XSS-атак и вредоносных расширений. Рекомендуется использовать HttpOnly и Secure cookies с атрибутом SameSite=Strict, если это позволяет архитектура приложения. Это минимизирует риски и делает токены недоступными через JavaScript.
Уязвимости при рендеринге пользовательского HTML:
Вставка пользовательского ввода в DOM без должной обработки может привести к XSS-уязвимостям. Особенно это актуально для проектов на React, Vue или Angular, где используются кастомные виджеты и редакторы. Рекомендуется проводить статический анализ потенциально опасных вставок, использовать библиотеки для XSS-защиты, такие как DOMPurify или sanitize-html, и тщательно проверять логику, работающую с raw HTML.
Настройка Content Security Policy (CSP):
CSP является эффективным механизмом предотвращения XSS и загрузки вредоносных скриптов. Однако часто он либо не используется, либо настроен неправильно, что может блокировать легитимные сценарии. Рекомендуется внедрять сбалансированную стратегию CSP, блокируя инлайн-скрипты, eval и небезопасные источники, при этом не мешая работе легитимных инструментов, таких как аналитика или платежные системы. Также важно интегрировать проверку CSP в процессы CI/CD, чтобы изменения не нарушали политику безопасности.
В условиях современных угроз важно регулярно проводить аудит фронтенд-безопасности, особенно если ваше приложение обрабатывает чувствительные данные, использует сторонние библиотеки или не проходило аудит в последние 12 месяцев. Это поможет выявить и устранить уязвимости, обеспечив надежную защиту данных пользователей.
Полную версию статьи можно посмотреть здесь.
Лучшее в блогах
Вам понравится
ОККАМ
27.11.2025
KursFinder
19.11.2025
ТОП-21 нейросетей для озвучки текста: ИИ-сервисы для голосовых записей онлайн
Когда нужна качественная нейросеть для озвучки текста, многие пользователи сразу вспоминают скучные «роботизированные» голоса из прошлого. Но современные ИИ-сервисы ушли далеко вперед: они умеют передавать эмоции, интонацию, акценты и даже особенности речи конкретного диктора. Такие инструменты уже используют для озвучки роликов, подкастов, онлайн-курсов, аудиокниг и рекламных объявлений.
Телеканал «Солнце»
18.11.2025
Первый музыкальный супергерой: мультсериал «Чёрный мотылёк. Сила музыки» выйдет на телеканале «СОЛНЦЕ» и в онлайн-кинотеатре START
![]()
Телеканал «СОЛНЦЕ» и онлайн-кинотеатр START представят мировую премьеру анимационного сериала «Чёрный мотылёк. Сила музыки» уже 28 ноября. Это вдохновляющая история о первом неидеальном супергерое, чья сила — в музыке: в проекте прозвучат 10 оригинальных песен, созданных специально для сериала.
Неделя рекламы 
Кейсы 
How to 
Интервью и дискуссии 
Маркетинговые исследования 
Просто о сложном 
Энциклопедия обмана 
Проверено ADPASS 
Рекламные кампании