Расскажи про безопасность веб-приложений: SQL-инъекции, XSS, CSRF, CSP, CORS, rate limiting и другое.

Безопасность веб-приложений включает защиту от различных атак:

• SQL-инъекции — внедрение вредоносных SQL-команд через пользовательский ввод. Защищаются с помощью параметризованных запросов и ORM.

• XSS (Cross-Site Scripting) — внедрение вредоносного JavaScript в страницы, которые затем выполняются у других пользователей. Защита — экранирование вывода, Content Security Policy (CSP).

• CSRF (Cross-Site Request Forgery) — атака, при которой злоумышленник заставляет пользователя выполнить нежелательное действие. Защита — использование CSRF-токенов, проверка Origin/Referer.

• CSP (Content Security Policy) — политика безопасности, которая ограничивает источники контента (скрипты, стили и т.д.), снижая риск XSS.

• CORS (Cross-Origin Resource Sharing) — механизм, контролирующий доступ к ресурсам с других доменов. Правильная настройка CORS предотвращает нежелательный доступ.

• Rate limiting — ограничение количества запросов с одного IP или пользователя за время, чтобы предотвратить DDoS и brute-force атаки.

Другие меры:

• Использование HTTPS для шифрования трафика.
• Хранение паролей с солью и хешированием.
• Регулярное обновление зависимостей и патчей.
• Валидация и санитизация всех пользовательских данных.

Пример CSP заголовка:

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;

Он разрешает загрузку скриптов только с собственного домена и доверенного CDN.