Sicherheitstipps für Frontend-Entwickler

Grundlegende Sicherheitsregeln, um XSS, Clickjacking, SQL Injection usw. zu verhindern

1. Benutzereingaben einschränken: DOMPurify, Secure-filters

2. Vorsicht bei der Verwendung von hidden: ZAP

3. content-security-policy-(CSP-)Header hinzufügen

4. Header für den XSS-Schutzmodus hinzufügen

5. textContent statt innerHTML verwenden

6. X-Frame-Options: Deny hinzufügen – verhindert Einbettung per iframe

7. Fehlermeldungen verallgemeinern: "Falsches Passwort" → "Die Anmeldeinformationen sind nicht korrekt"

8. Captcha verwenden: auf Seiten für Login, Anmeldung und Registrierung, Kontakt usw.

9. Referrer-Policy-Header hinzufügen oder rel=noopener zum a-Tag ergänzen

10. Feature-Policy-Header hinzufügen

11. Regelmäßig npm audit ausführen

12. Frontend-Domains nach Funktionen trennen

13. Vorsicht bei Aufrufen von Third-Party-Services: CSP korrekt setzen und beim Laden von Skripten das Attribut integrity anwenden