Middlewares безопасности в проектах на Laravel
"Сегодня мы с Вами рассмотрим два пакета, улучшающих безопасность нашего приложения. Безопасность в приоритете поэтому и тему стоит поднимать почаще. В целом я вдохновился на этот ролик после статьи от Стива Кинга на Laravel News. Будем рассматривать Middlewars и заголовки ответов. Ссылка на перевод статьи: https://cutcode.dev/articles/laravel-middleware-bezopasnosti #middlewares#laravel#cutcode --------------------------------------------------------------------------------- ???? Как насчет прокачки своих навыков с помощью наших обучающих видеокурсов по web-разработке? Переходи на мой сайт ? https://learn.cutcode.dev/?utm_source=yt ❗️❗️❗️Присоединяйся к нашему комьюнити в телеграм - там и советом помогут и много интересного - https://goo.su/FaKvdeG --------------------------------------------------------------------------------- Что из себя представляет первый пакет Security headers? Это набор готовых мидлваров. В целом каждый из них крайне простой, он либо удаляет что-то из заголовка-респонса, либо добавляет. Но при этом все это реализовано не в одном мидлваре, а в нескольких, чтобы разделять по роутам, по разным приоритетом безопасности. Какие-то более будут закрыты, какие-то менее. Что даст нам больше гибкости. Если коротко: то скажем Remove headers вот этот MiddleWar. Что он из себя представляет и какую пользу он несет? Давайте откроем проект к примеру CutCode и взглянем что у нас там в нетворке в рамках response. Обновимся. Посмотрим. Если перейдем в response то увидим, что у нас есть xpowered.by ключ также у нас есть ключ сервер. И тем самым мы в рамках ответа всем демонстрируем что у нас enginx такой-то версии, что у нас PHP определенной версии. И злоумышленник уже знает что у нас под капотом, какие возможные дыры присутствуют и ему будет строить процесс своего хулиганства гораздо проще. Зачем нам это демонстрировать, мы можем это скрывать. И как раз в рамках middlewar remove headers если мы заглянем, то мы будем эти ключи заголовка с вами удалять. А если переместимся соответственно в конфиг то мы увидим что у нас это xpowered by и сервер, то что я вам демонстрировал. Я также воспроизвел эти MiddleWar у себя, но только в рамках одного middleware чтобы смотреть как это работает и работает ли. И заметил что вот так вот через simfony response мы не сможем удалить за"
"Сегодня мы с Вами рассмотрим два пакета, улучшающих безопасность нашего приложения. Безопасность в приоритете поэтому и тему стоит поднимать почаще. В целом я вдохновился на этот ролик после статьи от Стива Кинга на Laravel News. Будем рассматривать Middlewars и заголовки ответов. Ссылка на перевод статьи: https://cutcode.dev/articles/laravel-middleware-bezopasnosti #middlewares#laravel#cutcode --------------------------------------------------------------------------------- ???? Как насчет прокачки своих навыков с помощью наших обучающих видеокурсов по web-разработке? Переходи на мой сайт ? https://learn.cutcode.dev/?utm_source=yt ❗️❗️❗️Присоединяйся к нашему комьюнити в телеграм - там и советом помогут и много интересного - https://goo.su/FaKvdeG --------------------------------------------------------------------------------- Что из себя представляет первый пакет Security headers? Это набор готовых мидлваров. В целом каждый из них крайне простой, он либо удаляет что-то из заголовка-респонса, либо добавляет. Но при этом все это реализовано не в одном мидлваре, а в нескольких, чтобы разделять по роутам, по разным приоритетом безопасности. Какие-то более будут закрыты, какие-то менее. Что даст нам больше гибкости. Если коротко: то скажем Remove headers вот этот MiddleWar. Что он из себя представляет и какую пользу он несет? Давайте откроем проект к примеру CutCode и взглянем что у нас там в нетворке в рамках response. Обновимся. Посмотрим. Если перейдем в response то увидим, что у нас есть xpowered.by ключ также у нас есть ключ сервер. И тем самым мы в рамках ответа всем демонстрируем что у нас enginx такой-то версии, что у нас PHP определенной версии. И злоумышленник уже знает что у нас под капотом, какие возможные дыры присутствуют и ему будет строить процесс своего хулиганства гораздо проще. Зачем нам это демонстрировать, мы можем это скрывать. И как раз в рамках middlewar remove headers если мы заглянем, то мы будем эти ключи заголовка с вами удалять. А если переместимся соответственно в конфиг то мы увидим что у нас это xpowered by и сервер, то что я вам демонстрировал. Я также воспроизвел эти MiddleWar у себя, но только в рамках одного middleware чтобы смотреть как это работает и работает ли. И заметил что вот так вот через simfony response мы не сможем удалить за"