F
Frontend
Вопросы
Тренажер вопросов
Тесты
Задачи
скоро
Поиск по сайту
Ctrl + K
Вопросы по Веб-разработке
Как работает AJAX и чем он отличается от традиционных запросов?
Как реализовать обработку ошибок при запросах к API?
Что такое API-ключ и как его использовать?
Что такое API-версионирование и зачем оно нужно?
Как осуществляется авторизация и аутентификация в веб-приложениях?
Как избежать проблем с CORS в веб-приложении?
Как работает кеширование в браузере? Что такое ETag, Cache-Control и другие заголовки кеша?
Что такое CSP и как она помогает повысить безопасность?
Как работают куки и сессии в контексте веб-приложений?
Как работает блокировка запросов в результате политик безопасности (например, CSP)?
Как реализовать защиту от CSRF в веб-приложении?
Какие инструменты для отладки сетевых запросов вы знаете?
В чём разница между HTTP и HTTPS?
Что такое DNS и как происходит разрешение доменного имени в IP-адрес?
В чём разница между доменными и поддоменными запросами?
Как обеспечить безопасность данных при передаче по сети?
Как использовать Fetch API для выполнения HTTP-запросов?
Как браузеры управляют параллельными соединениями?
Как работает механизм сжатия данных в HTTP?
Что такое заголовки HTTP? Назови 5 полезных заголовков и их назначения.
Какие заголовки HTTP вы можете использовать для оптимизации производительности?
Как работают Keep-Alive соединения в HTTP/1.1?
Какие HTTP-методы вы знаете и в чём их назначение?
Объясни разницу между кодами ответа HTTP 200, 301, 400, 401, 403, 404, 500.
Что такое HTTP/2 и чем он отличается от HTTP/1.1?
Как работает последовательность handshake при HTTPS-соединении?
Что такое IP-адрес и чем отличаются IPv4 и IPv6?
Что такое JSON и как его использовать в веб-приложениях?
Что такое нагрузочное тестирование и как его проводить?
Как управлять временными ограничениями запросов?
Что такое микросервисы и как они связаны с архитектурой приложений?
Что такое MIME-типы и зачем они нужны?
Как можно отслеживать производительность сетевых запросов?
Какие бывают типы атак через сеть и как их можно ограничить с фронта?
На каком уровне модели OSI работают HTTP, TCP, и IP?
Что такое preflight-запрос и когда он отправляется?
Что такое XSS и как его предотвратить на уровне фронтенда?
Как работает механика обмена данными в реальном времени?
Чем отличаются заголовки Request Headers и Response Headers?
Каковы отличия между REST и GraphQL?
Как работает механизм retry при неудачных запросах?
Что такое Same-Origin Policy?
В чём разница между Same-Origin Policy и CORS?
Что такое сокеты и как они используются в веб-разработке?
Что такое сертификаты SSL и как они обеспечивают безопасность?
Что такое TCP и чем он отличается от UDP?
Как работает TLS и зачем он нужен в HTTPS?
Как работает механизм авторизации через токены (Bearer, JWT)?
Что такое TTL в DNS-записях?
Как работает механика соединений в WebSocket?
Что такое WebSocket и когда его лучше использовать вместо HTTP?
Что происходит при вводе URL в адресной строке браузера?
Что такое CDN и зачем он используется?
Что такое CORS и как он работает?
Что такое HTTP и как он работает?
Что такое MTU (Maximum Transmission Unit)?
Что такое NAT и как он работает?
Что такое прокси-сервер и зачем он может использоваться на клиенте?
Что такое заголовок Referer и как его можно ограничивать?
Что такое RESTful API и как его использовать?
Что такое VPN и как он влияет на сетевые запросы?
Что делает заголовок X-Content-Type-Options=nosniff ?

Какие бывают типы атак через сеть и как их можно ограничить с фронта?

Атаки через сеть — это попытки несанкционированного доступа к данным, уязвимостям или ресурсам системы. Важно понимать, какие виды атак существуют, чтобы эффективно минимизировать риски. В этой статье мы рассмотрим основные типы атак и способы их ограничения на уровне фронтенда.

1. Основные типы атак

1.1. SQL-инъекции

SQL-инъекция ловко использует уязвимости в обработке SQL запросов. Злоумышленник может вставлять вредоносные SQL коды в запросы, что может привести к утечке данных.

1.2. XSS (Cross-Site Scripting)

Эта атака позволяет вставлять JavaScript-код на страницы, в которых пользователи ведут себя как доверенные. Злоумышленник может кражить куки или сеансовые данные.

1.3. CSRF (Cross-Site Request Forgery)

CSRF использует доверие жертвы к сайту, чтобы заставить ее отправить запросы к другим ресурсам, где она авторизована ( например, перевод денег).

1.4. DDoS (Distributed Denial of Service)

DDoS-атаки направлены на нагрузку системы жертвы, чтобы сделать ее недоступной для пользователей.

2. Ограничение атак с фронта

2.1. Защита от SQL-инъекций

Для предотвращения SQL-инъекций следует всегда использовать параметризованные запросы на стороне сервера. Однако на фронтенде нельзя передавать входные данные напрямую в API. Используйте регулярные выражения для валидации.

function validateInput(input) {
    const regex = /^[a-zA-Z0-9_]+$/; // Допустимые символы
    return regex.test(input);
}

2.2. Защита от XSS

Чтобы предотвратить XSS, необходимо экранировать специальные символы и использовать безопасные методы отображения данных.

function escapeHTML(str) {
    const div = document.createElement('div');
    div.innerText = str;
    return div.innerHTML;
}

// Использование
const userInput = '<script>alert("xss")</script>';
document.getElementById('output').innerHTML = escapeHTML(userInput);

2.3. Защита от CSRF

Чтобы предотвратить CSRF, используйте токены в запросах. Каждый раз, когда пользователь отправляет форму, отправляйте токен, проверяемый на сервере.

// Пример отправки формы с токеном
const csrfToken = 'ваш_токен'; // Получите токен с сервера
fetch('/api/submit', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-CSRF-Token': csrfToken
    },
    body: JSON.stringify({data: 'значение'})
});

2.4. Защита от DDoS

Хоть на фронтенде прямого влияния на DDoS-атаки нет, можно настроить систему для ограничения количества запросов (rate limiting) и использовать сетевые решения для фильтрации трафика.

Заключение

Безопасность — это многогранное понятие, и хотя фронтенд разработчики не могут сделать всё сами, они могут значительно уменьшить риски, соблюдая лучшие практики. Использование регулярной валидации данных, защита от XSS и CSRF, а также взаимодействие с сервером через безопасные механизмы — всё это шаги к созданию безопасного приложения.

Предыдущий вопрос
Как можно отслеживать производительность сетевых запросов?
Следующий вопрос
На каком уровне модели OSI работают HTTP, TCP, и IP?
Содержание:
1. Основные типы атак
2. Ограничение атак с фронта
Заключение
Редактировать