XSS — злоумышленник внедряет JavaScript-код в веб-страницу и запускает его в браузере других пользователей. Reflected XSS: вредоносный код в URL, жертва переходит по нему. Stored XSS: код сохраняется в базе данных (комментарии, посты). DOM-based XSS: скрыт в клиентском JavaScript.
Защита: Output encoding — при выводе в HTML все спецсимволы экранируются (<, &). Заголовок Content Security Policy (CSP) — контролирует inline-скрипты и внешние ресурсы. Флаги HttpOnly и Secure для cookie — предотвращают чтение cookie через JavaScript. Фреймворки React, Vue, Angular автоматически защищают от XSS — следует остерегаться dangerouslySetInnerHTML.
Наши курсы по этой теме