epic-security

Umiejętność zawierająca praktyczne wytyczne do wdrażania bezpieczeństwa w aplikacjach opartych na Epic Stack. Dowiesz się, jak konfigurować Content Security Policy, implementować ochronę przed spamem za pomocą honeypota, ustawiać rate limiting, zarządzać bezpieczeństwem sesji, walidować dane wejściowe i konfigurować bezpieczne nagłówki HTTP. Skill opiera się na filozofii szybkiego wykrywania błędów – waliduj ograniczenia bezpieczeństwa jak najwcześniej w procesie obsługi żądania.

1. Przejrzyj dokumentację umiejętności w repozytorium Epic Stack, aby zrozumieć dostępne wzorce bezpieczeństwa – CSP, rate limiting, session security, input validation i secure headers.

2. W swoim kodzie akcji (action handler) zaaplikuj zasadę "fail fast" – umieść wszystkie kontrole bezpieczeństwa na początku funkcji. Najpierw uwierzytelnij użytkownika za pomocą requireUserId, następnie waliduj dane wejściowe, a dopiero potem sprawdzaj uprawnienia użytkownika.

3. Użyj parseWithZod lub podobnego narzędzia do walidacji danych przesyłanych w formularzu. Jeśli walidacja się nie powiedzie, zwróć błąd HTTP 400 z jasnym komunikatem – nie pozwalaj potencjalnie niebezpiecznym danym na przepłynięcie przez system.

4. Implementuj Content Security Policy poprzez konfigurację odpowiednich nagłówków HTTP. Ustaw rate limiting na endpointach podatnych na ataki brute-force i spam.

5. Dla formularzy publicznych dodaj honeypot – ukryte pole, które powinno pozostać puste. Boty zazwyczaj je wypełniają, co pozwala na łatwe odfiltrowanie automatycznych ataków.

6. Zarządzaj sekretami i danymi wrażliwymi w zmiennych środowiskowych. W logach zdarzeń bezpieczeństwa zapisuj wystarczającą ilość kontekstu do debugowania, ale unikaj ujawniania informacji wrażliwych.