Consejos de seguridad para desarrolladores frontend

Reglas básicas de seguridad para prevenir XSS, clickjacking, SQL Injection, etc.

1. Restringir la entrada del usuario: DOMPurify, Secure-filters

2. Tener cuidado al usar hidden: ZAP

3. Agregar el encabezado content-security-policy (CSP)

4. Agregar el encabezado del modo de prevención de XSS

5. Usar textContent en lugar de innerHTML

6. Agregar X-Frame-Options: Deny - evita la incrustación con iframe

7. Generalizar los mensajes de error: "La contraseña es incorrecta" → "La información de inicio de sesión no es válida"

8. Usar CAPTCHA: en páginas de inicio de sesión, registro, alta, contacto, etc.

9. Agregar el encabezado Referrer-Policy o rel=noopener en la etiqueta a

10. Agregar el encabezado Feature-Policy

11. Ejecutar npm audit de forma periódica

12. Separar el dominio frontend según la función

13. Tener cuidado al llamar servicios de terceros: configurar CSP y aplicar el atributo integrity al cargar scripts