Blog Keamanan JavaScript
Tips, teknik, dan praktik terbaik melindungi aplikasi JavaScript Anda
Pengenalan Keamanan di Aplikasi JavaScript
JavaScript adalah tulang punggung banyak aplikasi web modern. Namun, bahasa ini juga menghadirkan berbagai risiko keamanan jika tidak ditangani dengan benar. Pada artikel ini, kita membahas praktik terbaik untuk mengurangi kerentanan umum seperti XSS, CSRF, dan masalah otorisasi.
Topik yang akan dibahas
- Validasi input di sisi klien dan server
- Sanitasi dan escaping output
- Mengelola autentikasi dan otorisasi
- Keamanan API dan CORS
- Keamanan paket dan dependensi
Contoh Praktik Baik
Berikut contoh sederhana cara mencegah XSS pada input pengguna dengan escaping yang tepat sebelum menampilkan ke DOM:
// Contoh escaping sederhana
function escapeHtml(str) {
const map = {
'&': '&',
'<': '<',
'>': '>',
'"': '"',
"'": '''
};
return String(str).replace(/[&<>"']/g, m => map[m]);
}
// Penggunaan
const userInput = '<script>alert("XSS")</script>';
const safe = escapeHtml(userInput);
document.getElementById('output').innerHTML = safe;
Catatan: Hindari melakukan innerHTML langsung dari input pengguna tanpa escaping.
Checklist Keamanan Rutin
- Aktifkan Content Security Policy (CSP).
- Pastikan input divalidasi di server, tidak hanya di klien.
- Sediakan logging audit untuk akses API.
- Perbarui dependensi secara berkala dan gunakan alat vulnerability scanning.
- Gunakan teknik otorisasi berbasis peran (RBAC) dan prinsip least privilege.
Studi Kasus Ringan
Misalnya Anda mengembangkan aplikasi todo list. Pastikan endpoint API tidak membocorkan data pengguna lain dan token otentikasi tidak terekspos melalui URL. Selalu simpan token di httpOnly cookies jika memungkinkan.
Daftar Isi
- Pengenalan
- Praktik Baik
- Checklist Keamanan
Ekstra
Gaya penulisan dan implementasi contoh di atas bisa disesuaikan dengan kebutuhan proyek Anda.
0 Komentar