React Frontend Developer

Question 1

Как можно улучшить безопасность HTML-страницы от CSRF, XSS-атак и других?

Accepted Answer

HTML-страницы могут быть защищены с помощью различных мер, таких как использование заголовков безопасности (например, Content Security Policy), правильная валидация данных и защита от XSS-атак. Эти меры помогают ограничить доступ к ресурсам и предотвращают внедрение вредоносного кода. Также важно соблюдать принципы безопасного кодирования и использовать HTTPS для защиты данных пользователей. Эти подходы помогают минимизировать риски безопасности на веб-сайте.

Question 2

Как реализовать Content Security Policy (CSP) для защиты веб-приложений на JavaScript?

Accepted Answer

Content Security Policy (CSP) — это механизм безопасности, который позволяет разработчикам контролировать, какие ресурсы могут быть загружены и выполнены на веб-странице. CSP реализуется с помощью HTTP-заголовка Content-Security-Policy, где можно указать разрешенные источники скриптов, стилей и других ресурсов. Это помогает предотвратить загрузку вредоносного контента и снижает риск атак типа XSS.

Чтобы внедрить CSP, достаточно добавить соответствующий заголовок на сервер или в мета-тег на странице.

Question 3

Объясните защиту от Cross-Site Scripting (XSS) и Cross-Site Request Forgery (CSRF) в контексте JavaScript.

Accepted Answer

Cross-Site Scripting (XSS) — это атака, при которой злоумышленник вставляет вредоносный скрипт на веб-страницу, что позволяет ему получить доступ к данным пользователя.

Защита от XSS включает экранирование пользовательского ввода и применение Content Security Policy (CSP).

Cross-Site Request Forgery (CSRF) — это атака, при которой злоумышленник заставляет пользователя выполнить нежелательное действие на сайте, где он аутентифицирован.

Защита от CSRF включает использование уникальных токенов для подтверждения запросов и проверки заголовков.

Question 4

Где безопаснее хранить токены и почему?

Accepted Answer

Токены безопаснее хранить в HTTP-only куках, а не в localStorage или sessionStorage. localStorage и sessionStorage доступны через JavaScript, что делает их уязвимыми для XSS-атак. HTTP-only куки недоступны для скриптов, что снижает риск утечки токена. Однако куки требуют защиты от CSRF с помощью дополнительных мер, таких как SameSite атрибуты и CSRF-токены.

Question 5

Что такое HTTP-only Cookie?

Accepted Answer

HTTP-only Cookie — это флаг, который запрещает доступ к куки из JavaScript (document.cookie). Куки с этим флагом отправляются только при HTTP-запросах к серверу. Это защищает сессионные токены от кражи через XSS-атаки. Флаг устанавливается сервером в заголовке Set-Cookie.

Question 6

Что такое HttpOnly cookie?

Accepted Answer

HttpOnly — это флаг cookie, который запрещает доступ к ней из JavaScript (document.cookie). Это защищает данные сессии от кражи при XSS-атаках. Cookie с этим флагом автоматически отправляются браузером на сервер при каждом запросе. Используется для хранения чувствительных данных, таких как токены аутентификации.

Question 7

Какие существуют CSP directives?

Accepted Answer

CSP директивы определяют, какие ресурсы могут загружаться на странице. Основные: default-src (базовое правило), script-src (скрипты), style-src (стили), img-src (изображения), connect-src (сетевые запросы), font-src (шрифты), frame-src (фреймы), object-src (плагины). Они помогают предотвратить XSS и инъекции.

Question 8

Какие угрозы решает CSP?

Accepted Answer

CSP (Content Security Policy) — это HTTP-заголовок, который позволяет контролировать, какие ресурсы (скрипты, стили, изображения) могут загружаться на странице. Он предотвращает XSS-атаки, блокируя выполнение инлайн-скриптов и загрузку ресурсов с недоверенных источников. CSP задаётся через заголовок Content-Security-Policy и может быть настроен для разных типов контента.

Вопросы React Frontend Developer