Новости
Rambler&Co
27.02.2026
ADPASS рекомендует материал к прочтению
Evrone
Фронтенд-безопасность в 2025 году: ключевые риски и стратегии защиты
В 2025 году фронтенд-приложения стали неотъемлемой частью бизнес-логики, управляя сессиями, обрабатывая чувствительные данные и взаимодействуя с API. Однако с ростом их функциональности увеличиваются и риски безопасности.
Рассмотрим три основных направления, требующих особого внимания при обеспечении безопасности клиентского кода.
Безопасное хранение токенов и работа с cookies:
Часто встречающаяся ошибка — хранение access-токенов в localStorage или доступных JavaScript cookies, что делает их уязвимыми для XSS-атак и вредоносных расширений. Рекомендуется использовать HttpOnly и Secure cookies с атрибутом SameSite=Strict, если это позволяет архитектура приложения. Это минимизирует риски и делает токены недоступными через JavaScript.
Уязвимости при рендеринге пользовательского HTML:
Вставка пользовательского ввода в DOM без должной обработки может привести к XSS-уязвимостям. Особенно это актуально для проектов на React, Vue или Angular, где используются кастомные виджеты и редакторы. Рекомендуется проводить статический анализ потенциально опасных вставок, использовать библиотеки для XSS-защиты, такие как DOMPurify или sanitize-html, и тщательно проверять логику, работающую с raw HTML.
Настройка Content Security Policy (CSP):
CSP является эффективным механизмом предотвращения XSS и загрузки вредоносных скриптов. Однако часто он либо не используется, либо настроен неправильно, что может блокировать легитимные сценарии. Рекомендуется внедрять сбалансированную стратегию CSP, блокируя инлайн-скрипты, eval и небезопасные источники, при этом не мешая работе легитимных инструментов, таких как аналитика или платежные системы. Также важно интегрировать проверку CSP в процессы CI/CD, чтобы изменения не нарушали политику безопасности.
В условиях современных угроз важно регулярно проводить аудит фронтенд-безопасности, особенно если ваше приложение обрабатывает чувствительные данные, использует сторонние библиотеки или не проходило аудит в последние 12 месяцев. Это поможет выявить и устранить уязвимости, обеспечив надежную защиту данных пользователей.
Полную версию статьи можно посмотреть здесь.
Лучшее в блогах
Вам понравится
AICAP
18.02.2026
Негативные эмоции от вашей рекламы — повод сворачивать кампанию?
![]()
Несмотря на то что все зрители любят видеть свежие, экспериментальные и отличные от других рекламные ролики, иногда они могут быть очень противоречивыми. Очевидно, авторы хотели, чтобы видео вызывали яркие эмоции, но они недооценили, что люди могут воспринимать информацию очень по-разному.
ОСМИ ИТ
18.02.2026
Как Al-анализ отзывов в е-commerce сократил ручную аналитику и ускорил реакцию на негатив
![]()
Для одного из крупнейших издательско-дистрибьюторских холдингов мы создали AI-систему, которая собирает отзывы с маркетплейсов и других каналов в единый поток, автоматически определяет тональность и ключевые аспекты, выделяет риски и повторяющиеся проблемы и формирует управленческие отчёты почти в реальном времени. Решение снижает долю ручной аналитики, ускоряет подготовку отчётов и реакцию на негатив, помогает точечно дорабатывать продукт и сервис и повышать качество клиентского опыта.
СберМаркетинг
13.02.2026
Неделя рекламы 
Кейсы 
How to 
Интервью и дискуссии 
Маркетинговые исследования 
Просто о сложном 
Энциклопедия обмана 
Проверено ADPASS 
Рекламные кампании