Я хотел бы попросить вас совета.Мне нужно сделать безопасное приложение.Это приложение должно выполнять следующие действия:
Оно должно использоваться компанией, и оно позволяет отправлять документы / события выбранной группе людей, и им необходимо «принять» или «отклонить» этот документ или событие...
Должна быть история, предстоящие события и т. Д., Кто сделает так, чтобы этот документ мог видеть, как другие люди отреагировали на этот документ и т. Д ...
Я использую: Back-end -Spring boot, Oauth2 - так что JWT, пароли хешируются BCrypt и хранятся в БД.JWT подписывается при авторизации.сервер с закрытым ключом и проверен на сервере ресурсов.Я использую поток кода гранта без секрета.Я использую роли для безопасного доступа к конечным точкам.Также я использую HTTPS.
Front-end: JQuery
Так что в основном у меня есть некоторые входы - логин (электронная почта, пароль) и кнопка поиска ..., а затем специальные входы для администраторов - дляуправляющие сотрудники.
Итак, мой вопрос: что «плохого» может случиться?
Я бы хотел сделать защиту XSS (сущности HTML) от входных данных в принципе.Могут ли другие атаки XSS происходить с моей установкой?Мне нужно как можно больше иметь дело с XSS.Токены должны быть недолгимCSRF не должен быть угрозой, потому что я не использую куки.