Conseils de sécurité pour les développeurs frontend

Règles de base de sécurité pour prévenir notamment XSS, le clickjacking et les injections SQL

1. Limiter les entrées utilisateur : DOMPurify, Secure-filters

2. Faire attention à l’utilisation de hidden : ZAP

3. Ajouter l’en-tête content-security-policy (CSP)

4. Ajouter l’en-tête du mode de protection XSS

5. Utiliser textContent au lieu de innerHTML

6. Ajouter X-Frame-Options: Deny - empêcher l’intégration via iframe

7. Généraliser les messages d’erreur : "Le mot de passe est incorrect" → "Les informations de connexion ne sont pas valides"

8. Utiliser un CAPTCHA : pages de connexion, d’inscription, d’enregistrement, de contact, etc.

9. Ajouter l’en-tête Referrer-Policy ou rel=noopener sur les balises a

10. Ajouter l’en-tête Feature-Policy

11. Exécuter régulièrement npm audit

12. Séparer le domaine frontend par fonctionnalité

13. Faire attention lors de l’appel à des services tiers : configurer la CSP et appliquer l’attribut integrity lors du chargement des scripts