Вопросы React Frontend Developer

Content Security Policy (CSP) — это механизм безопасности, который помогает предотвратить различные типы атак, такие как XSS (Cross-Site Scripting), ограничивая, какие ресурсы могут загружаться на странице. Заголовок CSP определяет, откуда разрешено загружать скрипты, стили и другие ресурсы. 

Атрибут integrity в теге <script> используется для проверки целостности загружаемого скрипта, чтобы убедиться, что он не был изменен. Если хэш скрипта не совпадает с указанным значением, браузер отклонит его загрузку.

События в DOM проходят три фазы: capturing, target и bubbling. В фазе capturing событие сначала проходит сверху вниз по дереву DOM. Чтобы обработчик сработал на этой фазе, нужно передать параметр capture: true в addEventListener.

Content Security Policy (CSP) — это механизм безопасности, который позволяет разработчикам контролировать, какие ресурсы могут быть загружены и выполнены на веб-странице. CSP реализуется с помощью HTTP-заголовка Content-Security-Policy, где можно указать разрешенные источники скриптов, стилей и других ресурсов. Это помогает предотвратить загрузку вредоносного контента и снижает риск атак типа XSS.

Чтобы внедрить CSP, достаточно добавить соответствующий заголовок на сервер или в мета-тег на странице.

В микросервисах аутентификация (проверка личности) реализуется через OAuth2, JWT или OpenID Connect, а авторизация (проверка прав) — через роли и политики, часто с помощью Spring Security. Например, Spring Security использует JWT-токены для проверки пользователей и фильтры для контроля доступа. Эти механизмы обеспечивают безопасность и масштабируемость.

Интеграция обычно происходит через протокол OAuth 2.0 и OpenID Connect (OIDC). Приложение (микросервис) перенаправляет пользователя на центральный сервер авторизации заказчика (например, Keycloak, Auth0) для входа. После успешного входа сервер возвращает токен доступа (JWT), который микросервис проверяет и извлекает из него данные о пользователе (роли, права) для авторизации запросов.