دورهٔ FrontendMasters – امنیت وب، نسخه ۲ یک راهنمای جامع و عملی برای توسعه‌دهندگان فرانت‌اند است تا بتوانند برنامه‌های تحت وب خود را در برابر انواع تهدیدات امنیتی محافظت کنند. این دوره با تمرکز بر تکنیک‌­ها و استانداردهای رایج امنیت وب، مباحث را از سطح مقدماتی تا پیشرفته پوشش می‌دهد و مثال‌های واقعی را برای درک بهتر ارائه می‌کند.

مدرس دوره، با تجربهٔ چندین ساله در زمینهٔ امنیت نرم‌افزار و تست نفوذ، شما را گام‌به‌گام با مفاهیم و ابزارهای کاربردی آشنا می‌کند. در نسخهٔ دوم این دوره، علاوه بر مباحث گذشته، آخرین روش‌ها و استانداردهای روز دنیا مانند Content Security Policy، Web Crypto API و شیوه‌های جدید مدیریت توکن‌‍‌ها و کوکی‌ها نیز بررسی شده است.

• مقدمه‌ای بر امنیت وب: مفاهیم پایه و چرایی اهمیت آن
• حملات XSS و پیشگیری: انواع Reflected، Stored و DOM-Based
• حملات CSRF و راهکارهای محافظتی
• مدیریت Session و کوکی‌های امن
• Cross-Origin Resource Sharing (CORS) و تنظیمات ایمن
• Content Security Policy (CSP) و نحوه پیاده‌سازی
• تکنیک‌های رمزنگاری با Web Crypto API
• JWT، OAuth 2.0 و OpenID Connect در برنامه‌های فرانت‌اند
• Secure Headers و Hardening HTTP
• تست نفوذ ساده با ابزارهای متن‌باز
• مباحث پیشرفته: Certificate Pinning، Subresource Integrity و …

در پایان این دوره، شما مسلط خواهید شد به:

• تشخیص و تحلیل نقاط ضعف امنیتی در کدهای JavaScript و HTML
• پیاده‌سازی کنترل‌های امنیتی مانند CSP و تنظیم Headerهای ایمن
• استفاده از Web Crypto API برای رمزنگاری داده‌ها و تولید کلیدهای امن
• مدیریت توکن‌های JWT با استاندارد OAuth 2.0
• راه‌اندازی و پیکربندی صحیح CORS برای سرویس‌های RESTful
• اجرای تست نفوذ ساده و یافتن آسیب‌پذیری‌های رایج با ابزارهایی مثل ZAP و BurpSuite
• به‌کارگیری Subresource Integrity برای تضمین صحت فایل‌های CDN
• افزایش اعتماد کاربر با پیاده‌سازی HTTPS و Certificate Pinning

به عبارت دیگر، شما از یک توسعه‌دهنده سادهٔ فرانت‌اند به یک متخصص امنیت وب تبدیل خواهید شد که می‌تواند پروژه‌های بزرگ را از نظر امنیتی بررسی و بهینه‌سازی کند.

برای بهره‌مندی کامل از این دوره، آشنایی پایه‌ای با موارد زیر لازم است:

• HTML5، CSS3 و JavaScript ES6+
• تعامل با APIهای RESTful یا GraphQL
• آشنایی اولیه با ابزارهای build (مثل Webpack یا Parcel)
• درک کلی از مفاهیم HTTP و معماری کلاینت-سرور

اگر با این مباحث آشنایی ندارید، پیشنهاد می‌شود ابتدا دوره‌های مقدماتی فرانت‌اند را گذرانده و سپس وارد این دورهٔ امنیت وب شوید.

بخش مهمی از این دوره به تمرین‌های عملی اختصاص دارد. برای مثال:

• مثال جلوگیری از XSS:

  const userInput = '<script>alert("XSS")</script>';
  const textNode = document.createTextNode(userInput);
  document.getElementById('output').appendChild(textNode);
        

  در این مثال می‌بینیم چگونه با استفاده از createTextNode() از تزریق اسکریپت جلوگیری می‌کنیم.

• پیکربندی ساده CSP در HTTP Header:

  Content-Security-Policy: default-src 'self'; img-src https://cdn.example.com; script-src 'self' https://apis.google.com; 
        

• رمزنگاری متن با Web Crypto API:

  const msg = new TextEncoder().encode("Hello Secure");
  const key = await crypto.subtle.generateKey(
    { name: "AES-GCM", length: 256 },
    true, ["encrypt", "decrypt"]
  );
  const encrypted = await crypto.subtle.encrypt(
    { name: "AES-GCM", iv: ivBuffer }, key, msg
  );
        

این مثال‌ها تنها بخش کوچکی از مجموعه تمرین‌های عملی هستند که در طول دوره با آن‌ها کار خواهید کرد.

با اتمام این دوره:

• مهارت‌های شما در مصاحبه‌های شغلی حوزهٔ امنیت وب به‌وضوح افزایش می‌یابد.
• قادر خواهید بود به‌عنوان یک Front-end Security Engineer در پروژه‌های بزرگ فعالیت کنید.
• گواهی معتبر FrontendMasters را دریافت می‌کنید که رزومه شما را متمایز می‌سازد.
• دسترسی به بسته منابع تکمیلی، کدها و فایل‌های تمرین خواهید داشت.

در نهایت، این دوره یک سرمایه‌گذاری بلندمدت برای ارتقای سطح تخصص و امنیت پروژه‌های شما خواهد بود.