🛡️ AppSec Security Review
Reglas para blindar el ERP contra ataques comunes.
1. Reglas de Base de Datos (Supabase)
- •RLS Obligatorio: JAMÁS deshabilites RLS. Cada tabla debe tener políticas explícitas.
- •Service Role Key: NUNCA usar en el frontend. Solo en Edge Functions seguras.
2. Frontend Security
- •XSS (Cross Site Scripting):
- •Nunca uses
dangerouslySetInnerHTMLa menos que sea ESTRICTAMENTE necesario y sanitizado (DOMPurify). - •Escapa siempre los inputs de usuario.
- •Nunca uses
- •CSRF: Supabase maneja los tokens de sesión, asegúrate de enviar los headers correctos.
3. Manejo de Datos Sensibles
- •PII (Personal Identifiable Information): DNI, Teléfonos, Correos deben tratarse con cuidado.
- •Logs: Nunca imprimas
console.log(usuario)en producción.
4. Auditoría de Dependencias
Ejecuta regularmente:
bash
npm audit
Si hay vulnerabilidades altas, actualiza los paquetes inmediatamente.