Мы собираемся разработать и внедрить пользовательский интерфейс для большого веб-сайта. Владелец сайта действительно осторожно относится к проблемам безопасности. Интересно, есть ли список проверок для рекомендаций по безопасности на стороне клиента при проектировании и кодировании в Javascript.Вопросы безопасности на клиентов (Javascript)
Вы можете использовать OWASP guide в качестве стартовой. Он предлагает набор тестов, которые вы можете систематически использовать для проверки вашего приложения на наличие распространенных уязвимостей.
Web application pen testing - это звуковое слово о том, чего вы пытаетесь достичь. Сканирование сети для автоматизированных инструментов и справочной информации.
Edit:
Вы упомянули, что не только на стороне клиента ваше беспокойство, но общая безопасность всего приложения, включая сервер. Мой совет будет заключаться в том, что если вы еще никогда не проводили оценку безопасности приложения, ваш босс/владелец сайта, вероятно, должен рассмотреть возможность найма внешней компании/консультанта для работы. Они будут делать работу меньше, чем это, вероятно, стоило бы, если бы вы и ваша команда должны были сначала изучить детали. Кроме того, у них есть преимущество в том, что это делается снова и снова, поэтому они гораздо менее склонны игнорировать важные детали.
Javascript можно легко обмануть. Вам необходимо создать систему на стороне сервера, и вся безопасность и клиентская сторона будут действовать только как интерфейс, похожий на браузер.
Шифрование с использованием сильного сертификата безопасности также будет вариантом, который вы можете рассмотреть.
Проблемы с безопасностью на стороне сервера или безопасность в отношении эксплойтов для взлома ПК пользователя? –
Данные на стороне сервера Я думаю, но важно, чтобы пользователь взломал нас так же, как инъекция, мы ограничиваем его доступность. Наконец, я имею в виду все проблемы, которые следует учитывать при работе над Javascript. – Saeed
Ну, очевидно, что если пользователь может ввести данные, то вы должны * реализовать проверку на стороне сервера для этих данных. При желании вы можете также добавить проверку на стороне клиента, которая может обеспечить более приятный пользовательский интерфейс, но не только клиентскую сторону. – nnnnnn