epic-security
Guide on security practices including CSP, rate limiting, and session security for Epic Stack
Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
Guide on security practices including CSP, rate limiting, and session security for Epic Stack
How to use
Przejrzyj dokumentację umiejętności w repozytorium Epic Stack, aby zrozumieć dostępne wzorce bezpieczeństwa – CSP, rate limiting, session security, input validation i secure headers.
W swoim kodzie akcji (action handler) zaaplikuj zasadę "fail fast" – umieść wszystkie kontrole bezpieczeństwa na początku funkcji. Najpierw uwierzytelnij użytkownika za pomocą requireUserId, następnie waliduj dane wejściowe, a dopiero potem sprawdzaj uprawnienia użytkownika.
Użyj parseWithZod lub podobnego narzędzia do walidacji danych przesyłanych w formularzu. Jeśli walidacja się nie powiedzie, zwróć błąd HTTP 400 z jasnym komunikatem – nie pozwalaj potencjalnie niebezpiecznym danym na przepłynięcie przez system.
Implementuj Content Security Policy poprzez konfigurację odpowiednich nagłówków HTTP. Ustaw rate limiting na endpointach podatnych na ataki brute-force i spam.
Dla formularzy publicznych dodaj honeypot – ukryte pole, które powinno pozostać puste. Boty zazwyczaj je wypełniają, co pozwala na łatwe odfiltrowanie automatycznych ataków.
Zarządzaj sekretami i danymi wrażliwymi w zmiennych środowiskowych. W logach zdarzeń bezpieczeństwa zapisuj wystarczającą ilość kontekstu do debugowania, ale unikaj ujawniania informacji wrażliwych.