DEV Community

Cover image for Segurança no Front-end: dos ataques à prevenção
Larissa Azevedo
Larissa Azevedo

Posted on

Segurança no Front-end: dos ataques à prevenção

#braziliandevs #frontend #owasp #security

Se você ainda acha que segurança na web é responsabilidade exclusiva do back-end ou do time de segurança, é hora de rever esse conceito.

Cada linha de código que você escreve no front-end tem impacto direto não só na experiência do usuário, mas também na proteção dos dados, na integridade do sistema e na reputação do produto que você ajuda a construir.

Durante minha palestra “Segurança no Front-End”, eu trouxe exatamente essa reflexão: a segurança começa no seu código, na interface e no que você entrega para o navegador. E quando você entende isso, percebe que o front não é só uma camada de apresentação, mas uma parte fundamental na defesa do sistema.

Muito mais do que entender conceitos técnicos isolados, desenvolver com segurança é uma mentalidade. É estar constantemente se perguntando se o que você desenvolve não abre brechas para invasões ou vazamento de dados, e como você pode estar ciente de novas formas de invasão para se prevenir delas.

Por que segurança no front-end importa tanto?

Se tem uma coisa que você precisa internalizar é que o front-end é a porta de entrada do seu sistema. É o primeiro lugar onde o usuário interage e, da mesma forma, onde uma pessoa mal-intencionada tenta explorar qualquer brecha possível.

Existe um mito muito comum entre desenvolvedores, especialmente aqueles que estão começando a aprofundar em arquitetura, que segurança é coisa de back-end, de infraestrutura ou, pior ainda, “coisa do time de segurança”. Isso não é só falso, como também é perigoso.

Se o seu código roda no navegador, ele é público. Ele está acessível, inspecionável e, portanto, vulnerável se não for construído com cuidado. Isso significa que qualquer erro, qualquer configuração errada, qualquer input não validado, qualquer dado sensível mal gerenciado, pode abrir uma porta enorme para vazamento de informações, sequestro de sessão, roubo de identidade ou até ataques que derrubam o sistema.

E mais do que isso: o usuário não sabe (e não quer saber) se foi o back-end, o front-end, a API, o servidor ou o banco de dados que falhou. O que ele sabe é que foi o seu sistema que não protegeu ele.

De quem é a responsabilidade?

A resposta mais honesta é: de todo mundo. Mas, especificamente no front-end, existem responsabilidades diretas e intransferíveis.

Se você está construindo a interface, você precisa garantir que:

  • Nenhum dado sensível seja exposto ou trafegue de forma insegura

  • Toda interação do usuário que gere ações sensíveis esteja protegida contra falsificação de requisição, execução de scripts maliciosos ou roubo de sessão

  • Os dados que você envia pro back-end estejam validados, sanitizados e dentro dos padrões que impedem exploração maliciosa

No fim das contas, a segurança do sistema também começa na sua tela.

Quais são as ameaças que rondam o front-end?

Pra quem acha que segurança é só preocupação com o back-end, entender essas ameaças é o primeiro choque de realidade.

Cross-Site Scripting (XSS)

O XSS é, disparado, um dos ataques mais comuns em aplicações web. E o pior: é também um dos mais fáceis de acontecer quando quem desenvolve não entende segurança no front.

Basicamente, o atacante injeta um script malicioso que será executado no navegador da vítima. Isso permite, por exemplo, que ele roube cookies, tokens de autenticação, dados sensíveis e até sequestre a conta do usuário.

Na prática, qualquer campo que aceite entrada do usuário sem sanitização vira uma brecha em potencial. Um input de nome, um campo de comentário, uma URL com query string, qualquer coisa.

Exemplo de busca sendo realizada e refletindo o conteúdo na página

Execução de um script de alerta indicando vulnerabilidade

Como prevenir:

  • Nunca renderize dados do usuário diretamente no DOM sem sanitização

  • Use bibliotecas como DOMPurify

  • Configure corretamente a Content Security Policy (CSP) da aplicação

  • Trabalhe sempre com HTTPS para impedir interceptação

Cross-Site Request Forgery (CSRF)

Esse é o clássico golpe da ação forçada. Imagine que você está logado no seu internet banking e, sem perceber, acessa um site malicioso que, de forma escondida, faz uma requisição para transferir dinheiro da sua conta. Você não vê, não percebe, mas a ação acontece, porque o navegador carrega seus cookies de sessão automaticamente.

Como prevenir:

  • Configure cookies com atributos como SameSite=Strict, HttpOnly e Secure.

  • Adote tokens anti-CSRF nas requisições sensíveis.

  • Sempre verifique os cabeçalhos Origin e Referer para garantir que a requisição veio de onde deveria.

  • E, claro, implemente MFA.

Formas de prevenção de CSRF em JS

Injeção de SQL (Sim, o front participa desse risco)

Apesar do SQL Injection ser um ataque direcionado ao back-end, a verdade é que quem não valida o que envia do front ajuda (e muito) a abrir essa porta.

Se você não controla o que o usuário digita e não valida os dados antes de enviar, você está passando input sujo que, se o back-end não tratar corretamente, vira uma bomba na mão do banco de dados.

Exemplo de injeção de SQL

Como prevenir:

  • Valide e sanitize absolutamente tudo que o usuário digita

  • Nunca confie que “o backend cuida disso”. Validação no front não substitui a do back, mas ela impede que algo nocivo chegue na sua aplicação

Ataques de Força Bruta

Se o seu sistema permite infinitas tentativas de login sem bloqueio, parabéns: você acabou de facilitar a vida de quem quer adivinhar senhas.

Exemplo de ataque de força bruta

Como prevenir:

  • Limite tentativas de login

  • Adicione CAPTCHA a partir de um número razoável de tentativas inválidas

  • Sempre implemente autenticação de dois fatores

  • E eduque os usuários e os times sobre a importância de senhas seguras

Vulnerabilidades de configuração

Se você já deixou uma chave de API exposta no código do front-end, você sabe do que estou falando. E se não sabe, eu te conto: qualquer segredo que vai pro navegador está, imediatamente, acessível pra qualquer pessoa que abrir o DevTools.

Isso vale pra qualquer dado que você deixou no localStorage, sessionStorage ou até fixo em arquivos de configuração expostos no front-end.

Como prevenir:

  • Nunca armazene segredos no front-end

  • Cuide da configuração dos headers HTTP de segurança

  • Trabalhe com tokens que expiram rapidamente e que possam ser rotacionados

  • E revise constantemente o que está público no seu bundle e no armazenamento local

Além disso, é importante revisar frequentemente quem tem acesso a quais partes do sistema e se essa permissão está de acordo com o que o usuário deve acessar. Por exemplo, um profissional que foi recentemente desligado não deve mais ter acesso a áreas críticas do sistema ou doo código, e se tiver, isso é uma falha de segurança.

Como trabalhar com autenticação segura no front-end?

Essa é uma das perguntas mais recorrentes e também uma das mais negligenciadas por muitos times.

Cookies

São uma boa opção desde que configurados corretamente. Eles são enviados automaticamente para o servidor no mesmo domínio e podem ser protegidos usando atributos como HttpOnly, Secure e SameSite. Porém, se não forem bem configurados, são alvo fácil para ataques como CSRF e XSS.

Tokens

Usar JWT ou OAuth com tokens pode ser uma escolha interessante, especialmente em arquiteturas sem estado. No entanto, armazenar tokens no localStorage ou sessionStorage abre portas para ataques XSS, já que qualquer script malicioso consegue acessar esses dados.

O caminho mais seguro? Sempre que possível, use cookies com HttpOnly para tokens sensíveis e mantenha os tokens de acesso em memória, rotacionando frequentemente.

Boas práticas que não são negociáveis no front

  • Sanitização e validação de toda entrada de usuário

  • Nunca armazenar dados sensíveis no navegador além do estritamente necessário

  • Sempre trabalhar com HTTPS e configurar os headers de segurança corretamente

  • Definir políticas de Content Security Policy robustas

  • Feedback controlado, com erros genéricos para quem não deveria ver detalhes

  • Manter dependências e bibliotecas sempre atualizadas

  • E claro, tratar privacidade de dados como pilar, especialmente considerando a LGPD

Ferramentas que todo dev front deveria conhecer (e usar)

  • OWASP ZAP para varredura de segurança

  • Nmap para análise de rede

  • Burp Suite para inspeção e manipulação de requisições

  • Nessus para scanner de vulnerabilidades

  • E claro, ferramentas como Snyk, Dependabot e npm audit para gestão de vulnerabilidades em dependências

Além disso, consulte o site da OWASP para entender mais sobre segurança na web.

A LGPD te envolve também

Se você coleta dados, você responde por eles. Se você guarda informações sensíveis que não faz sentido, se mantém dados do usuário oouu cliente quando não há motivo… você não só aumenta sua superfície de ataque, como também se expõe legalmente.

Portanto, pratique Privacy by Design: quanto menos dado você coleta e armazena, menor é seu risco.

Segurança não é uma opção, é sua responsabilidade

Quando você entende que segurança não é uma camada, mas um pilar do seu trabalho, sua visão sobre desenvolvimento muda. Você deixa de ser só alguém que resolve tarefas e passa a ser parte ativa da construção de sistemas robustos, profissionais e confiáveis.

E não tem sensação melhor do que olhar pro seu próprio código e saber que ele não só funciona, mas protege quem usa.

Se você chegou até aqui, quero te ouvir:
Quais práticas você já aplica?
Qual dessas te deixou mais reflexiva hoje?
E qual ferramenta de segurança ainda tá na sua lista pra dominar?

📲 Me acompanhe nas redes para mais conteúdos de front-end e carreira:

Instagram - LinkedIn - YouTube

Top comments (0)

Some comments may only be visible to logged-in visitors. Sign in to view all comments. Some comments have been hidden by the post's author - find out more

OSZAR »