Protege Tu Aplicación Next.js Con una Política de Seguridad de Contenido

Rate this content
Bookmark
Github
Lucas Esteveau discute la importancia de la Política de Seguridad de Contenido (CSP) como una capa adicional de seguridad para los navegadores. Explica cómo validar e implementar CSP utilizando herramientas como csp-evaluator.withgoogle.com y observatory.mozilla.org. También destaca el uso de componentes de servidor y middleware en el proyecto Hudafor para establecer y hacer cumplir las directivas CSP. Lucas aconseja comenzar con un CSP solo de informe, revisar los resultados y aplicar gradualmente la política. Enfatiza la importancia de revisar los informes de violación de políticas e iterar el proceso al hacer cambios.

From Author:

Aprende por qué deberías preocuparte por la Política de Seguridad de Contenido (CSP) y cómo implementarla en una aplicación Next.JS para mejorar tu capa de seguridad. Comprende los conceptos básicos de CSP, las directivas y su papel en la prevención de ataques web. Avanzando hacia Next.js, la sesión profundizará en los detalles de implementación, cubriendo los hashes "nounce" para scripts en línea usando middlewares y las trampas de estrategias comunes. Al final de la sesión, los participantes estarán equipados con el conocimiento y las habilidades para implementar y evaluar una política CSP robusta en Next.js, aprovechando sus últimas características de la versión 13, protegiendo eficazmente sus aplicaciones web contra ataques en línea.

This talk has been presented at React Advanced Conference 2023, check out the latest edition of this React Conference.

FAQ

Una Política de Seguridad de Contenido (CSP) es una capa de seguridad que ayuda a proteger las aplicaciones web de ataques como los de scripting de tipo cruzado o de inyección de datos, restringiendo la funcionalidad del navegador para ejecutar solo los scripts de dominios específicos definidos en la política.

En Next.js, una CSP se puede implementar añadiendo una lista de directivas en el encabezado dentro del archivo de configuración del proyecto. Se pueden definir las directivas para controlar a qué tipo de solicitudes se aplicará la CSP, utilizando el atributo de origen.

Para validar una CSP, puedes utilizar recursos como csp-evaluator.withgoogle.com o observatory.mozilla.org. Estas herramientas ayudan a verificar que la CSP sigue las mejores prácticas y está configurada correctamente.

Announced es una cadena aleatoria o un hash creado para un solo uso que se utiliza para permitir la ejecución de scripts en línea bajo una política de CSP estricta. Se compara el valor de announced en los scripts con el valor establecido en el encabezado de la política para permitir su ejecución.

Una estrategia efectiva es utilizar primero un CSP solo de informe, que revela los resultados sin aplicar las restricciones. Esto permite identificar y resolver problemas antes de aplicar completamente la CSP.

Puedes encontrar ejemplos de implementación de CSP en Next.js en el GitHub de Lucas Esteveau, donde comparte aplicaciones de muestra con CSP implementada.

Sí, Lucas Esteveau presenta un podcast en portugués brasileño sobre la carrera en tecnología, donde también se pueden encontrar temas relacionados con la seguridad en aplicaciones web.

Lucas Estevão
Lucas Estevão
6 min
23 Oct, 2023

Comments

Sign in or register to post your comment.

Video Transcription

1. Introducción a la Política de Seguridad de Contenido

Short description:

Soy Lucas Esteveau, un contratista principal de ingeniería de interfaz de usuario de Avenue Code en Apple. Hablemos de por qué deberías preocuparte por una Política de Seguridad de Contenido. Los navegadores tienen características de seguridad, pero no pueden prevenir todos los ataques. Una CSP es una capa de seguridad que restringe la funcionalidad del navegador. Puedes implementarla usando etiquetas meta o encabezados. En Next.js, puedes agregar directivas en tu archivo de configuración de next.

Hola a todos. Gracias por tenerme en la Conferencia React Advanced 2023. Soy Lucas Esteveau. Soy un contratista principal de ingeniería de interfaz de usuario de Avenue Code en Apple desde que me mudé a California hace unos cuatro años. También presento un podcast en portugués brasileño sobre la carrera en tecnología. Así que si tienes curiosidad y hablas portugués, échale un vistazo en las principales plataformas de streaming.

Estoy realmente emocionado de hablarles sobre cómo debería ser su aplicación Next.js con una Política de Seguridad de Contenido hoy y quiero empezar respondiendo ¿por qué debería preocuparme por una Política de Seguridad de Contenido? Bueno, resulta que tu navegador no es 100% seguro. Ya sea React o Next.js o cualquier biblioteca o marco que puedas estar utilizando para tu aplicación web. Aunque los navegadores tienen características de seguridad incorporadas como la política de origen único y CORS y bibliotecas y marcos como React y Next.js hacen un trabajo bastante decente en la limpieza del código y proporcionando características web para cerrar brechas de seguridad, no podemos darlo por hecho. Si un código como este se inyecta en tu sitio web, tu navegador o las características predeterminadas de React no pueden prevenir que esto se ejecute. Es decir, tu aplicación podría estar expuesta a ataques de scripting de tipo cruzado, y los preciados datos podrían filtrarse.

Ahí es cuando una CSP resulta útil. Una política de seguridad de contenido. Es una capa de seguridad que ayuda a proteger las aplicaciones de ataques como los ataques de scripting de tipo cruzado o ataques de inyección de datos, y lo hace restringiendo la funcionalidad del navegador. Una política de seguridad de contenido está compuesta por una lista de directivas de política. El navegador estará limitado a permitir solo lo que definas en tu política. Así que aquí tienes un ejemplo de cómo se compone una política de seguridad de contenido. Aquí otro ejemplo, donde las directivas de política, donde estoy definiendo que las fuentes predeterminadas de contenido, déjame volver a este. Aquí hay ejemplos de directivas de política donde estoy definiendo que las fuentes predeterminadas de contenido deben provenir de mi dominio. Y estoy añadiendo una excepción para las fuentes, porque quiero permitir que se descarguen las Fuentes Web de Google.

Hay dos formas de implementar una política de seguridad de contenido en tu aplicación. La primera es añadiendo una etiqueta meta en el encabezado HTML, pero esta no es la preferida. La otra forma, y la mejor manera de hacerlo, es crear un encabezado para ello. Así que aquí estamos añadiendo una clave CSP y el valor que contendrá nuestras directivas. En este caso, como dije antes, estoy diciendo que la fuente predeterminada de mi contenido, va a venir de mi dominio, y añadiendo una excepción para las fuentes que también pueden venir de Google. Cuando se trata de Next.js, así es como se ve una CSP. Simplemente puedes añadir una lista de directivas en tu encabezado dentro de tu archivo de configuración de next. Puedes definir a qué tipo de solicitudes se aplicará la CSP utilizando el atributo de origen. En este caso, estoy diciendo que mi política de seguridad de contenido se aplicará a cada una de las solicitudes. No estoy filtrando, aunque podrías hacerlo, filtrando tu API por ejemplo.

2. Validación e Implementación de CSP

Short description:

Para validar tu CSP, puedes usar csp-evaluator.withgoogle.com o observatory.mozilla.org. Announced permite ejecutar scripts en línea de forma segura. Los componentes del servidor obtienen el announce del encabezado. Un middleware en el proyecto Hudafor establece el announce en el encabezado de la solicitud. El middleware define directivas y establece el encabezado de solicitud de CSP. Aplica directivas dinámicamente en función del entorno. Comienza con CSP solo de informe, revisa los resultados y aplica la política más tarde. El navegador envía un informe con una solicitud POST al punto final definido. Revisa el informe para detectar violaciones de políticas. Repite el proceso al hacer cambios. Encuentra la aplicación de muestra Next.js con CSP en mi GitHub.

¿Qué pasa con la validation? Es bastante simple. Tienes prácticamente dos recursos que puedes usar para validar tu CSP. Puedes comprobarlo yendo a csp-evaluator.withgoogle.com o a observatory.mozilla.org. Asegúrate de que todo se ve bien, estás siguiendo las mejores prácticas y mueve el código a tu propia aplicación.

Habrá casos en los que necesites scripts en línea. Para esos escenarios, announced permitirá que tus scripts se ejecuten sin perder la security de tu CSP. Announced es básicamente una cadena aleatoria, un hash creado para un solo uso. Veamos cómo se puede usar announced en un componente de servidor. Con una política de CSP estricta establecida, los navegadores modernos solo ejecutarán scripts cuyo atributo announced coincida con el valor establecido en el encabezado de la política. Los scripts añadidos dinámicamente a la página por scripts con el announce adecuado también serán ejecutados.

Así es como se ve un componente de servidor, como dije, obteniendo el announce del encabezado. Para exponer el announce, necesitamos crear un middleware en el proyecto Hudafor y establecer el announce en el encabezado de la solicitud. Aquí lo estamos haciendo con la ayuda de crypto. Para usar el announce en nuestra política, podemos definir las directivas y establecer el encabezado de solicitud de CSP dentro de nuestro middleware. Incluso podemos aplicar directivas dinámicamente dependiendo del entorno en el que nos encontramos. Aquí estoy comprobando si no estoy en producción y si no lo estoy, puedo perder mi CSP security ya que estoy en modo de desarrollo. Así es como se ve nuestro middleware. Sé que parece mucho, pero no te preocupes por cada línea de código. La idea aquí es que entiendas el proceso. Puedes revisar mi código en mi GitHub.

Pero revisémoslo. Primero creamos el announce, luego definimos nuestro CSP y añadimos ambos a los encabezados de la solicitud. No necesitas aplicar todas las reglas a la vez y arriesgarte a romper tu aplicación. Puedes añadir primero el CSP solo de informe, revelar los resultados y aplicarlo más tarde. Así es como se ve un CSP solo de informe, muy similar al regular. El navegador enviará una solicitud HTTP POST al punto final que definamos, con un informe que se ve así. Puedes ver la política original y revisar lo que está rompiendo. Y luego puedes repetir este proceso cuando hagas cambios en tu política. Solo de informe, revelar y aplicar. Gracias. Espero que hayas encontrado útil este contenido. Puedes encontrar la aplicación de muestra de Next.js con una CSP implementada en mi GitHub. ¡Y feliz codificación!

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Construyendo Mejores Sitios Web con Remix
React Summit Remote Edition 2021React Summit Remote Edition 2021
33 min
Construyendo Mejores Sitios Web con Remix
Top Content
Remix is a web framework built on React Router that focuses on web fundamentals, accessibility, performance, and flexibility. It delivers real HTML and SEO benefits, and allows for automatic updating of meta tags and styles. It provides features like login functionality, session management, and error handling. Remix is a server-rendered framework that can enhance sites with JavaScript but doesn't require it for basic functionality. It aims to create quality HTML-driven documents and is flexible for use with different web technologies and stacks.
Acelerando tu aplicación React con menos JavaScript
React Summit 2023React Summit 2023
32 min
Acelerando tu aplicación React con menos JavaScript
Top Content
Mishko, the creator of Angular and AngularJS, discusses the challenges of website performance and JavaScript hydration. He explains the differences between client-side and server-side rendering and introduces Quik as a solution for efficient component hydration. Mishko demonstrates examples of state management and intercommunication using Quik. He highlights the performance benefits of using Quik with React and emphasizes the importance of reducing JavaScript size for better performance. Finally, he mentions the use of QUIC in both MPA and SPA applications for improved startup performance.
Documentación Full Stack
JSNation 2022JSNation 2022
28 min
Documentación Full Stack
Top Content
The Talk discusses the shift to full-stack frameworks and the challenges of full-stack documentation. It highlights the power of interactive tutorials and the importance of user testing in software development. The Talk also introduces learn.svelte.dev, a platform for learning full-stack tools, and discusses the roadmap for SvelteKit and its documentation.
Enrutamiento en React 18 y más allá
React Summit 2022React Summit 2022
20 min
Enrutamiento en React 18 y más allá
Top Content
Routing in React 18 brings a native app-like user experience and allows applications to transition between different environments. React Router and Next.js have different approaches to routing, with React Router using component-based routing and Next.js using file system-based routing. React server components provide the primitives to address the disadvantages of multipage applications while maintaining the same user experience. Improving navigation and routing in React involves including loading UI, pre-rendering parts of the screen, and using server components for more performant experiences. Next.js and Remix are moving towards a converging solution by combining component-based routing with file system routing.
SolidJS: ¿Por qué tanto Suspense?
JSNation 2023JSNation 2023
28 min
SolidJS: ¿Por qué tanto Suspense?
Top Content
Suspense is a mechanism for orchestrating asynchronous state changes in JavaScript frameworks. It ensures async consistency in UIs and helps avoid trust erosion and inconsistencies. Suspense boundaries are used to hoist data fetching and create consistency zones based on the user interface. They can handle loading states of multiple resources and control state loading in applications. Suspense can be used for transitions, providing a smoother user experience and allowing prioritization of important content.
De GraphQL Zero a GraphQL Hero con RedwoodJS
GraphQL Galaxy 2021GraphQL Galaxy 2021
32 min
De GraphQL Zero a GraphQL Hero con RedwoodJS
Top Content
Tom Pressenwurter introduces Redwood.js, a full stack app framework for building GraphQL APIs easily and maintainably. He demonstrates a Redwood.js application with a React-based front end and a Node.js API. Redwood.js offers a simplified folder structure and schema for organizing the application. It provides easy data manipulation and CRUD operations through GraphQL functions. Redwood.js allows for easy implementation of new queries and directives, including authentication and limiting access to data. It is a stable and production-ready framework that integrates well with other front-end technologies.

Workshops on related topic

Construyendo aplicaciones web que iluminan Internet con QwikCity
JSNation 2023JSNation 2023
170 min
Construyendo aplicaciones web que iluminan Internet con QwikCity
Featured WorkshopFree
Miško Hevery
Miško Hevery
Construir aplicaciones web instantáneas a gran escala ha sido elusivo. Los sitios del mundo real necesitan seguimiento, análisis y interfaces y interacciones de usuario complejas. Siempre comenzamos con las mejores intenciones pero terminamos con un sitio menos que ideal.
QwikCity es un nuevo meta-framework que te permite construir aplicaciones a gran escala con un rendimiento de inicio constante. Veremos cómo construir una aplicación QwikCity y qué la hace única. El masterclass te mostrará cómo configurar un proyecto QwikCity. Cómo funciona el enrutamiento con el diseño. La aplicación de demostración obtendrá datos y los presentará al usuario en un formulario editable. Y finalmente, cómo se puede utilizar la autenticación. Todas las partes básicas para cualquier aplicación a gran escala.
En el camino, también veremos qué hace que Qwik sea único y cómo la capacidad de reanudación permite un rendimiento de inicio constante sin importar la complejidad de la aplicación.
De vuelta a las raíces con Remix
React Summit 2023React Summit 2023
106 min
De vuelta a las raíces con Remix
Featured Workshop
Alex Korzhikov
Pavlik Kiselev
2 authors
La web moderna sería diferente sin aplicaciones ricas del lado del cliente respaldadas por potentes frameworks: React, Angular, Vue, Lit y muchos otros. Estos frameworks se basan en JavaScript del lado del cliente, que es su núcleo. Sin embargo, existen otros enfoques para el renderizado. Uno de ellos (bastante antiguo, por cierto) es el renderizado del lado del servidor completamente sin JavaScript. Descubramos si esta es una buena idea y cómo Remix puede ayudarnos con ello?
Prerrequisitos- Buen entendimiento de JavaScript o TypeScript- Sería útil tener experiencia con React, Redux, Node.js y escribir aplicaciones FrontEnd y BackEnd- Preinstalar Node.js, npm- Preferimos usar VSCode, pero también se pueden utilizar IDE en la nube como codesandbox (otros IDE también están bien)
Construye una aplicación WordPress sin cabeza con Next.js y WPGraphQL
React Summit 2022React Summit 2022
173 min
Construye una aplicación WordPress sin cabeza con Next.js y WPGraphQL
Top Content
WorkshopFree
Kellen Mace
Kellen Mace
En esta masterclass, aprenderás cómo construir una aplicación Next.js que utiliza Apollo Client para obtener datos de un backend de WordPress sin cabeza y usarlo para renderizar las páginas de tu aplicación. Aprenderás cuándo debes considerar una arquitectura de WordPress sin cabeza, cómo convertir un backend de WordPress en un servidor GraphQL, cómo componer consultas usando el IDE GraphiQL, cómo colocar fragmentos GraphQL con tus componentes, y más.
Next.js 13: Estrategias de Obtención de Datos
React Day Berlin 2022React Day Berlin 2022
53 min
Next.js 13: Estrategias de Obtención de Datos
Top Content
WorkshopFree
Alice De Mauro
Alice De Mauro
- Introducción- Prerrequisitos para la masterclass- Estrategias de obtención: fundamentos- Estrategias de obtención – práctica: API de obtención, caché (estática VS dinámica), revalidar, suspense (obtención de datos en paralelo)- Prueba tu construcción y sírvela en Vercel- Futuro: Componentes de servidor VS Componentes de cliente- Huevo de pascua de la masterclass (no relacionado con el tema, destacando la accesibilidad)- Conclusión
Crea un sitio web editable visualmente con Next.js utilizando React Bricks, con blog y comercio electrónico
React Summit 2023React Summit 2023
139 min
Crea un sitio web editable visualmente con Next.js utilizando React Bricks, con blog y comercio electrónico
Top Content
WorkshopFree
Matteo Frana
Matteo Frana
- React Bricks: por qué lo construimos, qué es y cómo funciona- Crea una cuenta gratuita- Crea un nuevo proyecto con Next.js y Tailwind- Explora la estructura del directorio- Anatomía de un Brick- Crea un nuevo Brick (Texto-Imagen)- Añade un título y descripción con edición visual RichText- Añade una imagen con edición visual- Añade controles de barra lateral para editar props (relleno y lado de la imagen)- Anidación de Bricks utilizando el componente Repeater- Crea un brick de galería de imágenes- Publica en Netlify o Vercel- Tipos de página y campos personalizados- Acceso a los valores meta de la página- Internacionalización- Cómo reutilizar contenido en varias páginas: Historias y incrustaciones- Cómo crear un comercio electrónico con datos de productos de una base de datos externa y páginas de aterrizaje creadas visualmente en React Bricks- Características empresariales avanzadas: permisos flexibles, estructura bloqueada, componentes visuales personalizados
De Todo App a B2B SaaS con Next.js y Clerk
React Summit US 2023React Summit US 2023
153 min
De Todo App a B2B SaaS con Next.js y Clerk
WorkshopFree
Dev Agrawal
Dev Agrawal
Si eres como yo, probablemente tengas un millón de ideas para proyectos secundarios, algunas de las cuales incluso podrían hacerte ganar dinero como un micro SaaS, o podrían resultar ser la próxima startup de mil millones de dólares. Pero, ¿cómo sabes cuáles? ¿Cómo pasas de una idea a un producto funcional que puede ser puesto en manos de clientes que pagan sin renunciar a tu trabajo e invirtiendo todo tu tiempo y dinero en ello? ¿Cómo pueden competir tus proyectos secundarios en solitario con las aplicaciones construidas por enormes equipos y grandes empresas?
Construir productos SaaS ricos viene con desafíos técnicos como infraestructura, escalabilidad, disponibilidad, seguridad y subsistemas complicados como autenticación y pagos. Por eso, a menudo son los gigantes tecnológicos ya establecidos quienes pueden construir y operar productos de este tipo de manera razonable. Sin embargo, una nueva generación de devtools está permitiendo a los desarrolladores construir fácilmente soluciones completas que aprovechan la mejor infraestructura en la nube disponible, y ofrecen una experiencia que te permite iterar rápidamente en tus ideas por un bajo costo de $0. Se llevan todos los desafíos técnicos de construir y operar productos de software para que solo tengas que pasar tu tiempo construyendo las características que tus usuarios quieren, dándote una oportunidad razonable de competir contra el mercado al mantenerte increíblemente ágil y receptivo a las necesidades de los usuarios.
En esta masterclass de 3 horas comenzarás con una simple aplicación de gestión de tareas construida con React y Next.js y la convertirás en un producto SaaS completamente funcional y escalable integrando una base de datos escalable (PlanetScale), autenticación multi-tenant (Clerk), y pagos basados en suscripción (Stripe). También aprenderás cómo los principios del desarrollo de software ágil y el diseño impulsado por el dominio pueden ayudarte a construir productos rápidamente y de manera rentable, y competir con las soluciones existentes.