1) Многие считают, что приложения, работающие в браузере, небезопасны
2) Однако, если взломать браузер пользователя, пострадает пользователь, если взломать сервер, пострадают все
3) Нет один защищен от атак «человек посередине»,
4) но если вся ваша критическая логика хранится в браузере, вам нужно защищать только статический контент
5) Cloudflare, в который вложены миллионы долларов в инфраструктуре безопасности, лучше всего подходит для этой цели
6) В первую очередь активируйте DNSSEC, что сведет к минимуму угрозу атаки подмены сервера, это бесплатно
7) Затем пропишите атрибут «целостность» ко всем JS-скриптам на странице (этот атрибут содержит хэш JS-кода, он понадобится в дальнейшем, чтобы отличать модифицированные хакером скрипты)
8) В Cloudflare настроить worker (5$/мес.), который может изменять заголовки, отправляемые в браузеры пользователей
9) Узнайте, как работает заголовок Content-Security-Policy: script-src 'sha256'
10) Co Нарисуйте белый список хэшей в воркере из п. 7
11) После этого, что бы ни случилось, например, взлом сервера или подмена DNS, даже если хакер сможет внести изменения в страницу, она просто перестанет открываться в браузерах пользователей и никто не пострадает