Защита API: Rate Limiting, CORS и JWT
Базовые гигиенические минимумы для любого публичного API: как не дать положить сервер брутфорсом.
Хранение JWT токенов
Никогда не храните JWT (Access токен) в LocalStorage! Это прямая дорога к XSS уязвимостям — любой вредоносный скрипт на сайте сможет украсть сессию пользователя.
Правильный путь: Отправлять токен в куках с флагами HttpOnly, Secure и SameSite=Strict. Тогда JavaScript не будет иметь к ним доступа.
Rate Limiting (Троттлинг)
Защита от брутфорса паролей и DDoS на уровне приложения. В NestJS это делается пакетом @nestjs/throttler. Мы жестко лимитируем эндпоинты авторизации (например, не более 5 попыток в минуту с одного IP).
IDOR уязвимости
Insecure Direct Object Reference. Если у вас есть роут /api/orders/123, вы обязаны проверить, принадлежит ли заказ №123 текущему авторизованному пользователю. Иначе кто угодно сможет перебрать ID и скачать чужие данные.
Нужна помощь с архитектурой?
Мы проектируем и разрабатываем Enterprise-решения с финансовой гарантией по SLA. Запишитесь на бесплатный аудит с нашим CTO, чтобы оценить узкие места вашего проекта.