Zabezpieczanie danych aplikacji biznesowej

Edytuj w trybie z połączeniem
Jeśli aplikacja biznesowa jest dostępna z Internetu, należy rozważyć następujące konfiguracje zabezpieczeń danych aplikacji.

Określanie zasięgu danych

Aplikacje działają na kliencie, w którym wywołują działania i inne usługi na serwerze. Podczas określania zasięgu danych, które są ujawniane klientowi, należy pamiętać, że wszystkie zmienne zadeklarowane w aplikacji są dostępne z poziomu przeglądarki, niezależnie od tego, czy są wyświetlane na stronie. Wszystkie zmienne, dla których włączono trwałość, można zapisać niezależnie od tego, gdzie są używane w aplikacji.

Jeśli dane są potrzebne tylko w ramach działania, należy unikać ujawniania ich aplikacji. Zmienne w działaniach są widoczne tylko dla serwera. Jednak zmienne wejściowe są odbierane od programu wywołującego, a zmienne wyjściowe są wysyłane z powrotem do programu wywołującego. Działania, które odbierają dane jako dane wejściowe z aplikacji, powinny sprawdzić poprawność danych przed wykonaniem na nich działań. Jeśli dane wyjściowe muszą zostać przekazane z jednego działania do innego, należy użyć trzeciego działania, aby wywołać oba te działania i wymienić dane zamiast używać aplikacji jako pośrednika.

Sprawdzanie poprawności działań po stronie serwera

Można zastosować sprawdzanie poprawności do nowych i istniejących aplikacji, aby upewnić się, że dane nie zostaną naruszone.
  1. Otwórz aplikację biznesową w programie do projektowania kodu niskiego i w preferencjach użytkownika przejdź do trybu wyświetlania Zaawansowane .
  2. Edytuj działanie w edytorze działań.
  3. Bezpośrednio po uruchomieniu działania dodaj sprawdzenie poprawności skryptu po stronie serwera . Jak pokazano na poniższym zrzucie ekranu. W takim przypadku sprawdzanie poprawności jest nazywane sprawdzaniem poprawności serwera.

Dalsze rozważania

  • Nie ujawniaj zbędnych punktów końcowych REST wdrożenia. Za pomocą debugera przeglądarki można uzyskać śledzenie wszystkich wywołań sieciowych, które są wykonywane podczas używania aplikacji. Użyj tego śledzenia, aby określić, że punkty końcowe powinny być dostępne poza firewallem.
  • Przed udostępnieniem aplikacji na zewnątrz należy przeprowadzić testy penetracyjne.
  • Przeprowadź analizę statyczną plików przed zaimportowaniem ich do mechanizmu aplikacji.
  • Uruchomienie skanowania zabezpieczeń w aplikacji może spowodować podświetlenie użycia wartości unsafe-inline i unsafe-eval w nagłówku CSP. Dyrektywy unsafe-inline i unsafe-eval w nagłówku CSP są wymagane do uruchomienia skryptów w aplikacji. Struktura aplikacji zawiera mechanizm, który zapewnia, że wykonywanie skryptów w środowisku jest zabezpieczone. Jednak do autora aplikacji należy upewnienie się, że w krokach i widokach skryptu JavaScript jest zgodny ze sprawdzonymi procedurami JavaScript .