React Frontend Developer

Question 1

Как работают Content Security Policy (CSP) заголовки и атрибуты вроде integrity в теге <script>?

Accepted Answer

Content Security Policy (CSP) — это механизм безопасности, который позволяет разработчикам контролировать, какие ресурсы могут быть загружены и выполнены на веб-странице. CSP реализуется с помощью HTTP-заголовка Content-Security-Policy, где можно указать разрешенные источники скриптов, стилей и других ресурсов. Это помогает предотвратить загрузку вредоносного контента и снижает риск атак типа XSS.

Чтобы внедрить CSP, достаточно добавить соответствующий заголовок на сервер или в мета-тег на странице.

Question 2

Как реализовать Content Security Policy (CSP) для защиты веб-приложений на JavaScript?

Accepted Answer

Content Security Policy (CSP) — это механизм безопасности, который позволяет разработчикам контролировать, какие ресурсы могут быть загружены и выполнены на веб-странице. CSP реализуется с помощью HTTP-заголовка Content-Security-Policy, где можно указать разрешенные источники скриптов, стилей и других ресурсов. Это помогает предотвратить загрузку вредоносного контента и снижает риск атак типа XSS.

Чтобы внедрить CSP, достаточно добавить соответствующий заголовок на сервер или в мета-тег на странице.

Question 3

Как работает перехват (capturing) событий в DOM?

Accepted Answer

События в DOM проходят три фазы: capturing, target и bubbling. В фазе capturing событие сначала проходит сверху вниз по дереву DOM. Чтобы обработчик сработал на этой фазе, нужно передать параметр capture: true в addEventListener.

Question 4

Какие существуют CSP directives?

Accepted Answer

CSP директивы определяют, какие ресурсы могут загружаться на странице. Основные: default-src (базовое правило), script-src (скрипты), style-src (стили), img-src (изображения), connect-src (сетевые запросы), font-src (шрифты), frame-src (фреймы), object-src (плагины). Они помогают предотвратить XSS и инъекции.

Question 5

Что такое hash в CSP?

Accepted Answer

Hash в CSP — это криптографический хеш (SHA-256, SHA-384 или SHA-512) от содержимого inline-скрипта или стиля. Он добавляется в заголовок Content-Security-Policy, чтобы разрешить выполнение только тех inline-кодов, чей хеш совпадает. Это позволяет безопасно использовать inline-скрипты без отказа от CSP.

Question 6

Какие угрозы решает CSP?

Accepted Answer

CSP (Content Security Policy) — это HTTP-заголовок, который позволяет контролировать, какие ресурсы (скрипты, стили, изображения) могут загружаться на странице. Он предотвращает XSS-атаки, блокируя выполнение инлайн-скриптов и загрузку ресурсов с недоверенных источников. CSP задаётся через заголовок Content-Security-Policy и может быть настроен для разных типов контента.

Question 7

Что такое Content Security Policy (CSP) и как он связан с безопасностью?

Accepted Answer

Content Security Policy (CSP) — это HTTP-заголовок, который позволяет контролировать, какие ресурсы (скрипты, стили, изображения) могут загружаться на веб-странице. Он предотвращает XSS-атаки, блокируя выполнение неавторизованного JavaScript. CSP задаётся через директивы, например, script-src 'self' разрешает только скрипты с того же домена. Это важный слой безопасности для веб-приложений.

Вопросы React Frontend Developer