React Frontend Developer

Question 1

Как можно улучшить безопасность HTML-страницы от CSRF, XSS-атак и других?

Accepted Answer

HTML-страницы могут быть защищены с помощью различных мер, таких как использование заголовков безопасности (например, Content Security Policy), правильная валидация данных и защита от XSS-атак. Эти меры помогают ограничить доступ к ресурсам и предотвращают внедрение вредоносного кода. Также важно соблюдать принципы безопасного кодирования и использовать HTTPS для защиты данных пользователей. Эти подходы помогают минимизировать риски безопасности на веб-сайте.

Question 2

Объясните защиту от Cross-Site Scripting (XSS) и Cross-Site Request Forgery (CSRF) в контексте JavaScript.

Accepted Answer

Cross-Site Scripting (XSS) — это атака, при которой злоумышленник вставляет вредоносный скрипт на веб-страницу, что позволяет ему получить доступ к данным пользователя.

Защита от XSS включает экранирование пользовательского ввода и применение Content Security Policy (CSP).

Cross-Site Request Forgery (CSRF) — это атака, при которой злоумышленник заставляет пользователя выполнить нежелательное действие на сайте, где он аутентифицирован.

Защита от CSRF включает использование уникальных токенов для подтверждения запросов и проверки заголовков.

Question 3

Что такое рендеринг на стороне клиента (CSR) и на стороне сервера (SSR)?

Accepted Answer

Рендеринг на стороне клиента (CSR) происходит в браузере, где JavaScript загружает и рендерит страницы после начальной загрузки, в то время как рендеринг на стороне сервера (SSR) генерирует HTML на сервере и отправляет его клиенту. CSR позволяет создавать динамичные интерфейсы, но может замедлять первоначальную загрузку, тогда как SSR обеспечивает быструю загрузку и лучшую SEO-оптимизацию, но требует дополнительных ресурсов на сервере.

Question 4

При каких механизмах авторизации существует опасность CSRF атаки?

Accepted Answer

CSRF-атаки возможны, когда сайт автоматически отправляет учетные данные (например, куки сессии) без подтверждения пользователя. Основные риски — обычные куки, Basic Auth и автоматическая привязка токенов к запросам.

Question 5

Как обрабатывать различия между серверным и клиентским рендерингом?

Accepted Answer

Серверный рендеринг (SSR) генерирует HTML на сервере и отправляет готовую страницу браузеру, что улучшает SEO и время до первой отрисовки. Клиентский рендеринг (CSR) загружает минимальный HTML и JavaScript, который затем строит интерфейс в браузере, обеспечивая быстрые переходы после загрузки. Для их согласования используется гидрация, когда React 'оживляет' статичный HTML, полученный с сервера. Выбор подхода зависит от требований к SEO, скорости загрузки и интерактивности.

Question 6

Где безопаснее хранить токены и почему?

Accepted Answer

Токены безопаснее хранить в HTTP-only куках, а не в localStorage или sessionStorage. localStorage и sessionStorage доступны через JavaScript, что делает их уязвимыми для XSS-атак. HTTP-only куки недоступны для скриптов, что снижает риск утечки токена. Однако куки требуют защиты от CSRF с помощью дополнительных мер, таких как SameSite атрибуты и CSRF-токены.

Question 7

Чем SSR отличается от CSR?

Accepted Answer

SSR (Server-Side Rendering) генерирует HTML на сервере и отправляет готовую страницу клиенту. CSR (Client-Side Rendering) отправляет пустой HTML и JavaScript, который рендерит страницу в браузере. SSR улучшает SEO и время первой загрузки, но нагружает сервер. CSR быстрее после загрузки и снижает нагрузку на сервер, но хуже для SEO.

Question 8

Как ограничить выполнение запросов на нежелательные домены?

Accepted Answer

Для ограничения запросов на нежелательные домены используется политика CORS (Cross-Origin Resource Sharing). Сервер указывает в HTTP-заголовках, какие домены имеют доступ к его ресурсам. Например, заголовок Access-Control-Allow-Origin задает разрешенные источники. Браузер блокирует запросы с других доменов, если сервер не разрешил их.

Вопросы React Frontend Developer