SkillProgramaçãoCriação
Segurança Fullstack em Camadas
Constrói features fullstack com segurança em todas as camadas — banco, backend, API e frontend — ao mesmo tempo, e não por partes. Use ao implementar funcionalidades que cruzam frontend e backend com segurança embutida desde o início.
Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Implementar features que sejam seguras simultaneamente em todas as camadas — em vez de "a gente adiciona segurança depois" — aplicando defesa em profundidade do banco de dados até o frontend.
Aplicação
Quando
faz sentido.
Usar
- A nova feature cruza frontend e backend
- Rotas autenticadas com UI correspondente
- CRUD com formulários ou features em tempo real
- Qualquer coisa que lide com PII, pagamento ou dados regulados
Não usar
- Trabalho exclusivo de frontend ou de backend (use skills específicas do stack)
- Design apenas de API (use api-designer)
Prompt
Instruções
para a IA.
### Stack de segurança em camadas
Na camada de banco: queries parametrizadas (nunca concatenação de strings), row-level security quando suportado, criptografia em repouso e audit log em tabelas sensíveis. No backend: validação de entrada na fronteira por whitelist, autorização verificada em cada request, rate limiting por usuário e por IP, logging estruturado sem PII. Na API: tokens bearer com expiração, proteção CSRF para auth por cookie, CORS restrito (nunca
### Instruções centrais
Antes de codar, trace o fluxo de dados: entrada do usuário, validação no frontend, API, validação no backend, checagem de autorização, gravação no banco — e o inverso para leituras. Em cada camada, pergunte "o que pode dar errado?" (injeção, escalonamento de privilégio, replay, XSS, CSRF). Aplique mitigações em todas as camadas — não confie em uma só; validação no frontend é UX, não segurança. Por fim, teste cada camada: testes unitários para validação, de integração para autorização, E2E para fluxos completos e pen test para features de alto risco.
Na camada de banco: queries parametrizadas (nunca concatenação de strings), row-level security quando suportado, criptografia em repouso e audit log em tabelas sensíveis. No backend: validação de entrada na fronteira por whitelist, autorização verificada em cada request, rate limiting por usuário e por IP, logging estruturado sem PII. Na API: tokens bearer com expiração, proteção CSRF para auth por cookie, CORS restrito (nunca
*) e códigos de status precisos. No frontend: auto-escape de conteúdo do usuário, sem dangerouslySetInnerHTML sem sanitização, Content Security Policy, cookies HTTPS-only e nenhum segredo nos bundles.### Instruções centrais
Antes de codar, trace o fluxo de dados: entrada do usuário, validação no frontend, API, validação no backend, checagem de autorização, gravação no banco — e o inverso para leituras. Em cada camada, pergunte "o que pode dar errado?" (injeção, escalonamento de privilégio, replay, XSS, CSRF). Aplique mitigações em todas as camadas — não confie em uma só; validação no frontend é UX, não segurança. Por fim, teste cada camada: testes unitários para validação, de integração para autorização, E2E para fluxos completos e pen test para features de alto risco.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).