¿Cómo proteger a los usuarios de aplicaciones web del compromiso del servidor?

Aquí hay una clara separación de preocupaciones. Como desarrollador de aplicaciones web, debe usar las reglas de seguridad más avanzadas para proteger su aplicación. Si también es responsable de su integración en un servidor, también debe asegurarse de que todos los componentes que use alrededor de la aplicación (por ejemplo, un servidor frontal Apache o nginx) tengan configuraciones que sigan las reglas del estado de la técnica.

Pero la protección de las máquinas cliente solo puede depender de los propietarios de las máquinas, y lo mejor que puede hacer es asegurarse de haber realizado su trabajo de producción y configuración de una aplicación web correctamente protegida.

Dicho esto, la seguridad de una aplicación web depende en gran medida de la seguridad global de su host. Si cree que no puede confiar en el entorno del host, no debe usarlo, o aceptar que la seguridad de su aplicación no será mayor que la de su host. Dicho de otra manera, al utilizar un servicio de alojamiento para su aplicación, usted acepta su nivel de seguridad.

Política de seguridad del contenido es probablemente un buen lugar para comenzar.

Pero, en última instancia, desde la perspectiva del cliente, si te conectas a un sitio web (con Javascript habilitado), estás insinuando que tienes un nivel básico de confianza en él ... incluso si no te das cuenta.

Desde la perspectiva de hospedar un sitio, si está hospedando con un proveedor, confía en que lo hagan de manera segura, solo hay mucho que puede hacer: su "huevo" está completamente en su " cesta".

Para activos de terceros (generalmente alojados a través de un CDN), puede emplear integridad del sub-recurso .