Статьи и руководства
Полезные материалы для веб-разработчиков и системных администраторов
SEC
Subresource Integrity (SRI): защита CDN-скриптов
Subresource Integrity (SRI) — атрибут integrity для <script> и <link>. Защита от компрометации CDN, генерация хеша, CSP require-sri-for.
SEC
Защита API от перегрузки: token bucket, 429, Retry-After
Rate limiting API: алгоритмы token bucket и sliding window, заголовок Retry-After, HTTP 429. Реализация на Redis, nginx, Express, NestJS.
SEC
Безопасность cookie: HttpOnly, Secure, SameSite, __Host-
Безопасность cookies: HttpOnly, Secure, SameSite (Strict/Lax/None), __Host- префикс, Max-Age vs Expires. Примеры PHP, Express, nginx.
SEC
Миграция с HTTP на HTTPS: редиректы, mixed content, HSTS
Переход с HTTP на HTTPS: получение сертификата, 301 редирект, fix mixed content, HSTS, canonical URL, SEO без потерь трафика.
SEC
Защита от XSS атак: типы, эскейпинг, CSP, Trusted Types
XSS атаки: stored, reflected, DOM-based. Защита: HTML-эскейпинг, контекстная санитизация, CSP, Trusted Types. Примеры кода и проверка.
SEC
Защита от Clickjacking: X-Frame-Options vs frame-ancestors
Clickjacking атаки: как работают, X-Frame-Options, CSP frame-ancestors, SameSite cookies, JS frame-busting. Настройка nginx и проверка защиты.
SEC
CORS: полное руководство по Access-Control-Allow
CORS, preflight OPTIONS, Access-Control-Allow-Origin, credentials, типичные ошибки. Настройка nginx, Express, NestJS и отладка через curl.
SEC
CSP (Content Security Policy): настройка с нуля
Настройка Content Security Policy: директивы, nonce, strict-dynamic, report-uri. Готовые примеры для nginx и Next.js, отладка и типичные ошибки.
DNS
Wildcard DNS-записи: применение и подводные камни
Wildcard DNS (*.example.com): когда использовать, ограничения по RFC 4592, конфликты, производительность и безопасность.
DNS
Обратный DNS и PTR-записи: для чего нужны
Что такое rDNS и PTR-запись. Настройка обратной зоны in-addr.arpa, PTR для почтовых серверов, влияние на SPF и доставляемость писем.