Je ne sais pas pour vous, mais lorsque j'ai commencé en tant que développeur front-end , je ne me souciait pas vraiment de la sécurité. Et sur de plus grand projets , je n'ai pas continué à me soucier de la sécurité parce que personne ne m'avait mieux appris, et cela m'a causé des problèmes.
Comprendre comment sécuriser votre code JavaScript peut changer cela et nous aider à protéger nos applications et nos utilisateurs.
Cet article explorera certaines pratiques de sécurité que les développeurs JavaScript pourraient mettre en œuvre à tout moment . Bonne lecture
1. Maintenez vos dépendances à jour
Les bibliothèques obsolètes peuvent exposer vos applications à des vulnérabilités de sécurité. Garder tout à jour vous aide à éviter les problèmes connus qui ont déjà été résolus.
- Utilisez un gestionnaire de packages : npm (Node Package Manager) est un excellent outil qui vous aide à gérer et à mettre à jour vos bibliothèques.
- Vérifications régulières : exécutez npm outdated pour voir quels packages sont obsolètes.
- Mettez à jour régulièrement : utilisez npm update pour mettre à niveau vos packages vers les dernières versions.
npm update # met à jours vos packages ;
2. Utilisez des en-têtes de sécurité simples
Les en-têtes de sécurité indiquent au navigateur comment se comporter lors de la gestion du contenu de votre site, ce qui permet d'éviter certains types d'attaques comme les scripts intersites et l'injection de données.
Nous pouvons utiliser Content Security Policy (CSP), un en-tête de sécurité qui permet d'empêcher l'exécution de scripts non autorisés sur votre site, ce qui peut empêcher de nombreuses attaques.
Commencez simplement : ajoutez un en-tête CSP de base qui autorise uniquement les scripts de votre site.
<!--Ajoutez à la section <head> de votre HTML-->
<meta content="script-src 'self';" http-equiv="Content-Security-Policy">
ce bout de code signifie que seuls les scripts qui font partie de votre site Web peuvent être exécutés, et aucun autre script provenant d'ailleurs ne le sera .
3. Nettoyez les entrées utilisateur
Les entrées utilisateur peuvent être dangereuses si elles ne sont pas gérées correctement. Des utilisateurs malveillants peuvent essayer de saisir des données susceptibles de nuire à d'autres utilisateurs ou à votre site.
Nous devons toujours traiter les entrées comme non fiables, en nettoyant les données provenant des utilisateurs pour nous assurer qu'elles sont sûres avant de les utiliser dans votre application.
Lors de la mise à jour de la page Web avec les entrées utilisateur, utilisez textContent au lieu de innerHTML pour éviter d'exécuter des scripts nuisibles.
const userInput = document.querySelector('#user-input').value;
document.getElementById('output').textContent = userInput;
Et nous sommes plus en sécurité maintenant les gars ...
Ces trois étapes sont un excellent point de départ pour sécuriser vos applications JavaScript.
J'espère que vous prendrez un moment aujourd'hui pour examiner vos projets JavaScript. Vérifiez les bibliothèques obsolètes, assurez-vous d'utiliser des en-têtes de sécurité et vérifiez que toutes les entrées utilisateur sont nettoyées.
De petites étapes peuvent faire une grande différence dans la sécurité de vos applications Web.
Commentaires
Enregistrer un commentaire