Безпека — це не опція
Кожен розробник знає про SQL-ін'єкції та XSS. Але існує безліч інших вразливостей, які часто ігноруються до першого інциденту. Ми склали чеклист з 15 пунктів.
1. CSRF-захист на кожній формі
Токен CSRF має бути на кожній формі, яка змінює дані — без винятків.
2. Content Security Policy (CSP)
Навіть базова CSP-політика значно зменшує ризик XSS.
3. Rate limiting на API та форми авторизації
Впровадьте rate limiting: для авторизації — максимум 5 спроб за 15 хвилин з одного IP.
4. Безпечні cookie-налаштування
Кожен cookie з чутливими даними повинен мати прапорці HttpOnly, Secure та SameSite.
5. Валідація на сервері — завжди
Ніколи не довіряйте даним з клієнта, навіть якщо вони пройшли JavaScript-валідацію.
6. Параметризовані запити — без винятків
Використовуйте prepared statements — це єдиний надійний захист від SQL-ін'єкцій.
7-10. HTTPS, заголовки безпеки, хешування паролів, логування
Ці пункти настільки ж важливі, наскільки й часто забуваються.
11-15. Санітизація файлів, enumerate атаки, залежності, секрети, бекапи
Кожен з цих пунктів може врятувати ваш проєкт від катастрофи.
Висновок
Безпека — це процес, а не одноразова дія. Проходьте цей чеклист регулярно.