Dicas de segurança para desenvolvedores front-end

Boas práticas básicas de segurança para prevenir XSS, Clickjacking, SQL Injection etc.

1. Restringir a entrada do usuário: DOMPurify, Secure-filters

2. Cuidado ao usar hidden: ZAP

3. Adicionar o cabeçalho content-security-policy (CSP)

4. Adicionar o cabeçalho do modo de prevenção de XSS

5. Usar textContent em vez de innerHTML

6. Adicionar X-Frame-Options: Deny - impedir incorporação via iframe

7. Generalizar mensagens de erro: "A senha está incorreta" → "As informações de login não estão corretas"

8. Usar Captcha: em páginas como login, cadastro e registro, contato etc.

9. Adicionar o cabeçalho Referrer-Policy ou rel=noopener na tag a

10. Adicionar o cabeçalho Feature-Policy

11. Executar npm audit regularmente

12. Separar o domínio do front-end por funcionalidade

13. Ter cuidado ao chamar serviços de terceiros: configurar CSP e aplicar o atributo integrity ao carregar scripts