F
Frontend
Вопросы
Тренажер вопросов
Тесты
Задачи
скоро
Поиск по сайту
Ctrl + K
Вопросы по JS
Как отменить веб-запрос, используя AbortController в JavaScript?
Как отменить веб-запрос с помощью AbortController в JavaScript?
В чем преимущество использования синтаксиса стрелочных функций для методов в конструкторах JavaScript?
Преимущества и недостатки использования AJAX
Что такое AJAX?
Что вы думаете об AMD и CommonJS?
Каковы типичные случаи использования анонимных функций в JavaScript?
Как сделать API вызов в JavaScript?
Как добавлять, удалять и обновлять элементы в массиве JavaScript?
Что такое async/await и как они упрощают асинхронный код?
В чем разница между "атрибутом" и "свойством" в DOM?
Как избежать проблем, связанных с хоистингом?
Какие лучшие практики для написания поддерживаемых и эффективных тестов в JavaScript?
Какова цель операторов break и continue в JavaScript?
Объясните концепцию кэширования и как её можно использовать для улучшения производительности
Что такое функции обратного вызова и как они используются?
Объяснение концепции функции обратного вызова в асинхронных операциях
Как изменять стили CSS с помощью JavaScript?
Объясните концепцию частичного применения
Как проверить тип данных переменной в JavaScript?
Как надежно определить, что объект пустой в JavaScript?
Как проверить, есть ли у объекта конкретное свойство?
Что такое замыкание в JavaScript и как/зачем его использовать?
Объясните концепцию code coverage и как его можно использовать для оценки качества тестов
Какие существуют распространенные заголовки безопасности и какова их цель?
Объясните различия между модулями CommonJS и ES-модулями в JavaScript
Объясните концепцию Политики Безопасности Содержимого (CSP) и как она повышает безопасность
Как преобразовать строку в число в JavaScript?
Опишите разницу между cookie, sessionStorage и localStorage в браузерах
Что такое межсайтовый скриптинг (XSS) и как можно его предотвратить?
Объясните концепцию подделки межсайтовых запросов (CSRF) и методы её защиты
Что такое каррирование и как оно работает?
Примеры использования каррирования и частичного применения
Каковы отличия между каррированием и частичным применением?
Какие существуют типы данных в JavaScript?
Объясните концепции дебаунсинга и троттлинга
Какие инструменты и техники используются для отладки JavaScript кода?
Что такое параметры по умолчанию и как они используются в JavaScript?
Что такое паттерн Декоратор и как он используется?
Объясните концепцию деструктуризации для объектов и массивов
Как определить, отключен ли JavaScript на странице?
В чем разница между .call и .apply в JavaScript?
Опишите различия между cookie, sessionStorage и localStorage в браузерах
В чем разница между: function Person(){}, const person = Person(), и const person = new Person() в JavaScript?
В чем разница между переменной JavaScript, которая: null, undefined или undeclared?
Объясните различия в использовании `foo` между `function foo() {}` и `var foo = function() {}` в JavaScript
В чем разница между document.querySelector() и document.getElementById()?
Когда бы вы использовали document.write()?
Что такое DOM и как он структурирован?
В чем разница между == и === в JavaScript?
Объясните концепцию распространения ошибок в JavaScript
В чем различия между классами ES2015 и функциями-конструкторами ES5 в JavaScript?
Объясните концепцию паттерна Стратегия
Что такое всплытие событий в JavaScript и браузерах?
Что такое всплытие событий (Event Bubbling) в JavaScript и браузерах?
Что такое захват событий (Event Capturing) в JavaScript и браузерах?
Объясните делегирование событий в JavaScript
В чем разница между event.preventDefault() и event.stopPropagation()?
Что такое обработчики событий и как они используются?
Что такое event loop в JavaScript?
Объясните фазы событий в браузере
Почему не стоит расширять встроенные объекты JavaScript?
Что такое паттерн Фабрика и как он используется?
Как сделать HTTP-запрос с помощью Fetch API?
Какова цель блока finally?
Объясните функцию Function.prototype.bind в JavaScript
Как работает сборка мусора в JavaScript?
Как получить значения строки запроса текущей страницы в JavaScript?
Почему в целом лучше не трогать глобальную область видимости JavaScript на сайте?
Что такое функция высшего порядка в JavaScript?
Что такое "hoisting" в JavaScript?
Объясните, как работает this
Как создать функцию-конструктор в JavaScript?
Как <iframe> на странице могут взаимодействовать?
Как импортировать и экспортировать модули в JavaScript?
В чем разница между классическим наследованием и прототипным наследованием?
Объясните концепцию наследования в классах ES2015
В чем разница между innerHTML и textContent?
Для чего нужен объект пространства имен Intl?
Какие конструкции языка используются для итерации по свойствам объектов и элементам массивов в JavaScript?
Что такое итераторы и генераторы в JavaScript и для чего они используются?
Инструменты и техники отладки JavaScript-кода
Какие инструменты можно использовать для тестирования JavaScript?
Инструменты и методы выявления уязвимостей в JavaScript-коде
Объясните, как работает JSONP (и как это не совсем Ajax)
Как написать модульные тесты для JavaScript кода?
Каковы преимущества использования каррирования и частичного применения?
Что такое паттерн Команда и как он используется?
Объясните концепцию ленивой загрузки и как она может улучшить производительность
Различия между переменными, созданными с использованием let, var или const?
Что такое лексическая область видимости (Lexical Scoping) в JavaScript?
Как добавить, удалить и изменить HTML элементы с помощью JavaScript?
В чем разница между Map/Set и WeakMap/WeakSet в JavaScript?
В чем разница между объектом Map и обычным объектом в JavaScript?
Какие инструменты можно использовать для измерения и анализа производительности JavaScript?
Какие метаданные у модуля?
Какие существуют методы для перебора массива в JavaScript?
Объясните концепцию очереди микрозадач (microtask queue)
Что такое моки и стабы и как они используются в тестировании?
Что такое модульный паттерн и как он помогает с инкапсуляцией?
Что такое модули и зачем они нужны?
В чем разница между событиями mouseenter и mouseover в JavaScript и браузерах?
В чем разница между изменяемыми и неизменяемыми объектами в JavaScript?
Как можно оптимизировать сетевые запросы для повышения производительности?
В чем разница между переменной JavaScript, которая является: null, undefined или undeclared?
Какие существуют способы копирования объектов и массивов в JavaScript?
Что такое Object.freeze() в JavaScript?
Для чего нужны геттеры и сеттеры в JavaScript?
Что такое Object.preventExtensions() в JavaScript?
Что такое флаги свойств и дескрипторы свойств в JavaScript?
Что такое Object.seal() в JavaScript?
Как обрабатывать ошибки с помощью блоков try...catch?
Объясните Observer Pattern и его случаи использования
Как оптимизировать манипуляции с DOM для улучшения производительности?
Как организовать свой код?
В чем разница между параметром и аргументом в JavaScript?
В чем разница между `function Person() {}`, `const person = Person()` и `const person = new Person()` в JavaScript?
Объясните политику одного источника в контексте JavaScript
Для чего нужны полифиллы в JavaScript?
Как предотвратить уязвимости SQL-инъекций в JavaScript-приложениях?
Как можно предотвратить атаки clickjacking?
Как предотвратить стандартное поведение события?
Что такое прогрессивные веб-приложения (PWA)?
Чем отличается Promise.all() от Promise.allSettled()?
Состояния Promise в JavaScript
Что такое Promises и как они работают
Преимущества и недостатки использования Promises вместо callback'ов в JavaScript
Объясните, как работает прототипное наследование в JavaScript
Что такое цепочка прототипов и как она работает?
Объясните концепцию паттерна Прототип
Для чего используются прокси (Proxies) в JavaScript?
Что такое прокси в JavaScript и для чего они используются?
Какова цель использования ключевого слова new в JavaScript?
Почему расширение встроенных объектов JavaScript — это плохая идея?
Разница между событием загрузки документа и событием DOMContentLoaded
Объясните разницу между юнит-тестированием, интеграционным тестированием и сквозным тестированием
Что такое рекурсия и как она используется в JavaScript?
Как сделать перенаправление на новую страницу в JavaScript?
Какие существуют методы для уменьшения reflow и repaint?
Что такое параметры rest и как они используются в JavaScript?
Что такое область видимости (Scope) в JavaScript?
Как реализовать безопасную аутентификацию и авторизацию в JavaScript-приложениях?
Практики обработки конфиденциальных данных в JavaScript
Что такое Server-Sent Events (SSE)?
Что такое Set и Map и как они используются?
Как преобразовать Set в массив в JavaScript?
Как множества (Set) и карты (Map) обрабатывают проверку равенства для объектов?
В чем разница между setTimeout(), setImmediate() и process.nextTick()?
Что такое шаблоны проектирования и почему они полезны?
Объясните разницу между поверхностным и глубоким копированием
Как можно делиться кодом между файлами JavaScript?
Что такое одностраничное приложение и как сделать его SEO-дружественным?
Объясните концепцию паттерна Singleton
Как создать собственные объекты ошибок?
Что такое оператор распространения и как он используется?
Какие преимущества использования синтаксиса spread в JavaScript и чем он отличается от синтаксиса rest?
Зачем создавать статические члены класса в JavaScript?
Какова цель оператора switch в JavaScript?
Для чего используются символы (Symbols) в JavaScript?
Для чего используются Symbol в JavaScript?
В чем разница между синхронными и асинхронными функциями в JavaScript?
Что такое тегированные шаблонные литералы?
Объясните концепцию разработки через тестирование (TDD)
Что такое шаблонные литералы и как они используются?
Что такое тернарный оператор и как он используется?
Как тестировать асинхронный код в JavaScript?
Какие существуют типы ошибок в JavaScript?
Объясните концепцию tree shaking в бандлинге модулей
Каков типичный случай использования анонимных функций в JavaScript?
Что такое 'use strict'; в JavaScript и для чего он нужен?
Какие существуют узкие места производительности в JavaScript-приложениях?
Объясните концепцию валидации ввода и её важность в безопасности
Как проверять элементы формы с помощью API проверки ограничений?
Какие существуют способы создания объектов в JavaScript?
Какие существуют виды тестирования в разработке программного обеспечения?
Какие существуют способы создания объектов в JavaScript?
Объясните концепцию API Web Socket
Что такое веб-воркеры в JavaScript и для чего они используются?
В чем разница между объектами Window и Document?
Как использовать API window.history?
Что такое воркеры в JavaScript и для чего они используются?
Чем отличаются XMLHttpRequest и fetch() в JavaScript и браузерах?
В чем разница между XMLHttpRequest и fetch() в JavaScript и браузерах?

Инструменты и методы выявления уязвимостей в JavaScript-коде

JavaScript-приложения подвержены множеству уязвимостей, таких как XSS, CSRF, SQL-инъекции, утечки данных и атаки через зависимости. Для защиты кода применяют статический и динамический анализ, специализированные инструменты и безопасные практики.

1. Статический анализ кода (SAST)

Статический анализ позволяет находить потенциальные уязвимости без выполнения кода.

Популярные инструменты:

ESLint – линтер для выявления небезопасных конструкций.
TSLint (устарел, заменён на ESLint для TypeScript) – анализатор TypeScript-кода.
SonarQube – анализ кода на уязвимости и кодстайл.
Semgrep – поиск уязвимостей на основе паттернов.
ESLint плагин security – обнаружение небезопасных API.

Пример конфигурации ESLint для безопасности:

{
  "extends": [
    "eslint:recommended",
    "plugin:security/recommended"
  ],
  "plugins": [
    "security"
  ]
}

2. Анализ зависимостей (SCA – Software Composition Analysis)

Многие атаки происходят через уязвимые библиотеки. Анализ зависимости помогает выявлять уязвимости в npm-пакетах.

Популярные инструменты:

npm audit – встроенный инструмент для проверки зависимостей.
Snyk – анализ уязвимостей в пакетах npm, Yarn.
OWASP Dependency-Check – проверка зависимостей на известные уязвимости.
Retire.js – анализ устаревших JavaScript-библиотек.

Пример использования npm audit:

npm audit
npm audit fix --force

3. Динамический анализ (DAST – Dynamic Application Security Testing)

Динамический анализ выполняет тестирование работающего приложения и выявляет уязвимости в реальном времени.

Популярные инструменты:

OWASP ZAP (Zed Attack Proxy) – автоматическое тестирование безопасности.
Burp Suite – инструмент для анализа веб-трафика и тестирования на уязвимости.
Nikto – сканер веб-приложений.
Google Lighthouse – проверка безопасности веб-приложения.

Пример запуска OWASP ZAP:

zap-cli quick-scan http://localhost:3000

4. Фаззинг (Fuzzing) – тестирование случайными данными

Фаззинг проверяет код на обработку неожиданных данных, помогая находить XSS, SQL-инъекции и другие уязвимости.

Популярные инструменты:

Jazzer.js – фаззер для JavaScript-приложений.
ZAP Fuzzer – встроенный инструмент фаззинга в OWASP ZAP.
Atheris – фаззер для анализов входных данных.

Пример фаззинга c OWASP ZAP:

zap-cli fuzz --target http://example.com

5. Мониторинг безопасности в реальном времени

Для обнаружения атак и аномального поведения на продакшене можно использовать инструменты мониторинга.

Популярные решения:

Sentry – отслеживание ошибок и уязвимостей.
DataDog Security – мониторинг безопасности в реальном времени.
Google Security Command Center – защита облачных JavaScript-приложений.

Пример интеграции Sentry для отслеживания ошибок:

import * as Sentry from "@sentry/browser";

Sentry.init({dsn: "https://examplePublicKey@o0.ingest.sentry.io/0"});

6. Инструменты для тестирования защиты API

Если JavaScript-приложение работает с API, важно проверять уязвимости API-методов.

Популярные инструменты:

Postman Security Testing – тестирование безопасности REST API.
OWASP API Security Top 10 – рекомендации по защите API.
GraphQL Security Toolkit – тестирование GraphQL API.

7. Практики безопасности для JavaScript-разработчиков

Не храните секретные данные в коде – используйте .env и process.env.
Используйте CSP (Content Security Policy) – защита от XSS.
Ограничивайте доступ к localStorage и sessionStorage.
Очистка и валидация пользовательского ввода – защита от инъекций.
Используйте только проверенные библиотеки и обновляйте зависимости.
Минимизируйте права доступа API-токенов.

Заключение

Для выявления уязвимостей в JavaScript-приложениях используются статический и динамический анализ, проверка зависимостей, фаззинг и мониторинг. Регулярное применение этих методов помогает защитить код от атак и утечек данных.

Предыдущий вопрос
Какие инструменты можно использовать для тестирования JavaScript?
Следующий вопрос
Объясните, как работает JSONP (и как это не совсем Ajax)
Содержание:
1. Статический анализ кода (SAST)
2. Анализ зависимостей (SCA – Software Composition Analysis)
3. Динамический анализ (DAST – Dynamic Application Security Testing)
4. Фаззинг (Fuzzing) – тестирование случайными данными
5. Мониторинг безопасности в реальном времени
6. Инструменты для тестирования защиты API
7. Практики безопасности для JavaScript-разработчиков
Заключение
Редактировать