Protezione dei dati dell'applicazione di business

Se la vostra applicazione aziendale è accessibile da Internet, considerate le seguenti configurazioni di sicurezza per i dati dell'applicazione.

Dati di ambito

Le applicazioni vengono eseguite sul client, dove richiamano azioni e altri servizi sul server. Quando si definiscono i dati esposti al client, tenere presente che tutte le variabili dichiarate nell'applicazione sono accessibili dal browser se vengono visualizzate in una pagina. Tutte le variabili abilitate alla persistenza possono essere salvate indipendentemente da dove vengono utilizzate nell'applicazione.

Se i dati sono necessari solo all'interno di un'azione, evitare di esporli all'applicazione. Le variabili nelle azioni sono visibili solo al server. Tuttavia, le variabili di input vengono ricevute dal chiamante e le variabili di output vengono inviate nuovamente al chiamante. Le azioni che ricevono dati come input da un'applicazione devono convalidare i dati prima di agire su di essi. Se i dati di emissione devono essere passati da un'azione ad un'altra, utilizzare una terza azione per richiamare entrambi e scambiare i dati piuttosto che utilizzare l'applicazione per agire come intermediario.

Convalida lato server per azioni

È possibile applicare le convalide alle applicazioni nuove ed esistenti per garantire che i dati non siano compromessi.
  1. Aprire l'applicazione aziendale nel designer di basso codice e passare alla modalità di vista Avanzata nelle preferenze utente.
  2. Modificare l'azione nell'editor delle azioni.
  3. Aggiungere una convalida Script lato server immediatamente dopo l'inizio dell'azione. Come illustrato nella seguente schermata. In questo caso, la convalida viene denominata convalida server.
    Convalida degli script lato server

Ulteriori considerazioni

  • Non esporre endpoint REST non necessari della distribuzione. È possibile utilizzare un programma di debug del browser per ottenere una traccia di rete di tutte le chiamate di rete effettuate quando viene utilizzata l'applicazione. Utilizzare tale traccia per stabilire che gli endpoint siano disponibili all'esterno del firewall.
  • Eseguire i test di penetrazione sulle applicazioni prima di renderle disponibili esternamente.
  • Eseguire l'analisi statica dei file prima di importarli nel motore dell'applicazione.
  • L'esecuzione della scansione di sicurezza sulla tua applicazione potrebbe evidenziare l'utilizzo di unsafe-inline e unsafe-eval nell'intestazione CSP. Le direttive unsafe-inline e unsafe-eval nell'intestazione CSP sono richieste per eseguire gli script nell'applicazione. Il framework dell'applicazione dispone di un meccanismo per garantire la sicurezza dell'esecuzione dello script nel framework. Tuttavia, è compito dell'autore dell'applicazione assicurarsi che JavaScript nelle viste e nei passi dello script segua le procedure ottimali di JavaScript .