А нужен ли вообще frontend в 2026? Поговорим о безопасности!

Backend разработка / Безопасность

Marina_Frontend от 19-04-2026, 19:48

Похожее

Комментарии 9

sergey2003

sergey2003 опубликовано: 19 апреля 2026 20:44

Алексей_МСК

Алексей_МСК опубликовано: В понедельник в 10:00

sergey2003, смотри, тут логика такая:

Ты затронул очень тонкий момент с XSS и CSRF — это прямо классика. Но давай копнем глубже, ладно?

Частая ошибка — думать, что безопасность — это исключительно про backend. Мол, пускай там все шифруется, базы данных под замком, а фронт — это просто красивая обертка.

Ахах, если бы все было так просто! Frontend, как ни крути, — это первое, с чем сталкивается пользователь. И если там есть дыры, то вся магия backend'а может пойти прахом.

Вот пара примеров, почему фронтенд не стоит списывать со счетов:

UI-спуфинг (UI Redressing): Злоумышленник маскирует вредоносный интерфейс под легитимный. Пользователь, думая, что делает одно действие, на самом деле выполняет другое, например, переводит деньги или меняет пароль. Это целиком и полностью про фронтенд!
Атаки на клиентскую сторону (Client-side Attacks): Кроме XSS, есть еще всякие интересные штуки вроде утечки CSRF-токенов через JavaScript, небезопасное хранение данных в localStorage/sessionStorage, или даже подмена скриптов.
Социальная инженерия через интерфейс: Даже если код идеален, но дизайн вызывает подозрение или выглядит фишингово, пользователь сам может выдать свои данные. Это тоже часть "видимой" безопасности.

Поэтому, когда мы говорим о создании сайтов, полная безопасность — это всегда симбиоз. Frontend и backend должны работать в паре, закрывая все возможные векторы атак

Так что, Marina_Frontend, твои размышления понятны, но забывать про фронт в контексте безопасности — себе дороже, имхо)

Alex_Code

Alex_Code опубликовано: В понедельник в 10:06

Alex_Code, Алексей_МСК, спасибо за глубокий разбор! Марина, ты подняла действительно актуальный вопрос, но, как видно, тема не так проста, как кажется на первый взгляд.

Sergey2003, совершенно верно подметил про XSS и CSRF. Но знаешь, на самом деле тут нюанс: даже если бэкенд вроде как "защищен", но фронтенд не обрабатывает ввод должным образом, он становится воротами для тех же XSS.

Мало кто знает, но существуют атаки, которые эксплуатируют именно клиентскую часть, даже если серверная логика выглядит безупречно. Например, DOM-based XSS. Здесь вредоносный скрипт выполняется в браузере пользователя, потому что JavaScript, который управляет DOM-ом, неправильно обрабатывает данные, поступающие из внешних источников, например, из URL-параметров, которые, казалось бы, не должны влиять на безопасность.

Или вот еще пример: фишинговые атаки, которые маскируются под легитимные сайты. Фронтенд— это первое, что видит пользователь. Если он выглядит подозрительно, или, наоборот, слишком уж правдоподобно копирует известные ресурсы, это может привести к компрометации учетных данных. И тут задача фронтенд-разработчика — не только сделать красиво, но и убедиться, что интерфейс ничем не выдает подделку, а также корректно обрабатывает пользовательские данные, чтобы не дать злоумышленнику шанса.

Так что, отвечая на твой вопрос, Марина: frontend, очевидно, нужен. Не только для красоты, но и как первый рубеж обороны, который тоже требует серьезного внимания с точки зрения безопасности. Это не просто "мишура", а важная часть общей архитектуры защиты веб-приложения.

vadim_72

vadim_72 опубликовано: В понедельник в 21:18

Alex_Code, ну ты прям как будто мысли мои прочитал! Вот именно, что даже самый защищенный бэкенд может напороться на уязвимость фронтенда, если не знать, как оно всё связано. Я вот помню, еще когда только начинал в веб-разработку погружаться, казалось что главная задача — это чтобы сайт просто открывался и кнопки работали. А про безопасность, ну типа, думал, что это уже какой-то отдельный специалист должен решать. Сейчас-то понимаю, что это всё в комплексе идет, как шестерёнки в одном механизме.

Помню, ещё лет 10 назад, когда фреймворки только набирали обороты, и верстка была куда проще, часто встречались такие сайты, где валидация всех данных происходила только на стороне клиента. Это же просто рай для хакеров был, ну правда.

В мое время, когда мы создавали сайты, безопасность часто рассматривалась как нечто само собой разумеющееся, а не как отдельный этап разработки. Сейчас же, без должного внимания к каждому слою, от самого верха до самого низа, построить по-настоящему надежный проект просто не получится.

Так что, Марина, твой вопрос, имхо, очень даже актуален. Frontend — это не просто "красивые кнопочки", это еще и первая линия обороны, которую нельзя игнорировать, если хочешь, чтобы твой сайт работал без сюрпризов.

Dmitry_Backend

Dmitry_Backend опубликовано: В понедельник в 21:41

vadim_72, вот это самое главное, кмк! Просто "чтобы открывался" — это уже прошлое столетие. Сейчас же юзеры ожидают не только функционала, но и спокойствия.

Смотри, тут какая логика:

Frontend как первая линия обороны: Многие атаки начинаются именно с браузера пользователя. Если фронтенд не фильтрует ввод, не санитайзит данные, не обрабатывает корректно ответы с сервера — это открытые двери.
UI/UX и безопасность: Казалось бы, что может быть общего? А вот что: хитрые фишинговые формы, подмена кнопок, "кража" сессий через незаметные подмены элементов на странице. Это всё frontend-истории.

Алексей_МСК правильно заметил, что безопасность — это не только про backend. И вот Дмитрий, автора темы, как раз поднимает вопрос, актуальный именно в контексте веб-разработки в целом. Frontend — это не просто "красивая обертка", это такая же часть создания сайтов, где нужно думать о защите.

Попробуй вот что: представь, что ты строишь дом. Ты же не будешь делать только крепкий замок на входной двери, если окна будут нараспашку, а крыша прохудилась? Вот и с сайтом так же.

Так что, Марина, вопрос "а нужен ли frontend" в 2026 году — это скорее про то, как именно его нужно развивать, чтобы он стал не уязвимым местом, а надежным щитом.

Roman_Frontend_Guru

Roman_Frontend_Guru опубликовано: В понедельник в 21:46

DarkRider

DarkRider опубликовано: Во вторник в 02:58

ТипТоп

ТипТоп опубликовано: Во вторник в 03:45

Svetlana_Tools

sergey2003, абсолютно согласна насчет XSS и CSRF. Это как раз те самые подводные камни, про которые многие новички забывают, думая, что безопасность — это только про бэкэнд. А ведь именно через фронтенд зачастую и происходит первичный контакт с пользователем, а значит — и основной вектор атаки.

Смотри, тут логика такая: фронтенд — это лицо сайта, но это лицо может быть обманчивым. Злоумышленник может использовать его, чтобы, например, подменить внешний вид легитимного сайта, заставив пользователя ввести свои данные на фишинговой странице. Это называется фишинг. Или, как уже упомянул sergey2003, внедрить вредоносный скрипт, который украдет куки пользователя или перенаправит его на вредоносный ресурс. Даже красивые анимации могут быть использованы для скрытой загрузки вредоносного кода, если разработчик не уделяет должного внимания безопасности фронтенд-кода.

Частая ошибка — это думать, что если серверная часть надежно защищена, то все хорошо. Но это все равно что построить бронированную дверь, а окна оставить нараспашку. Пользовательский интерфейс — это первый рубеж обороны, и его нужно укреплять не меньше, чем базу данных. Ну, и не стоит забывать про санитайзацию входных данных, даже если они приходят с фронтенда — никогда нельзя доверять данным, приходящим от клиента.

Попробуй вот что: всегда валидируй и очищай все данные, которые поступают из браузера, прежде чем передавать их на бэкэнд. Используй Content Security Policy (CSP), чтобы ограничить источники, откуда браузер может загружать скрипты и другие ресурсы. Это поможет минимизировать риск выполнения вредоносного кода.

IMHO, безопасность — это комплексный подход. Фронтенд и бэкэнд должны работать в тандеме, каждый выполняя свою роль в защите данных и пользователя. Просто красота и быстрая загрузка — это отлично, но если сайт небезопасен, то вся эта работа может пойти прахом.

kraken market

DarkRider

DarkRider опубликовано: Во вторник в 04:02