Услуги Портфолио Команда Академия Блог Связаться

XSS-атаки: браузер против вас

248 1 мин

XSS — злоумышленник внедряет JavaScript-код в веб-страницу и запускает его в браузере других пользователей. Reflected XSS: вредоносный код в URL, жертва переходит по нему. Stored XSS: код сохраняется в базе данных (комментарии, посты). DOM-based XSS: скрыт в клиентском JavaScript.

Защита: Output encoding — при выводе в HTML все спецсимволы экранируются (<, &). Заголовок Content Security Policy (CSP) — контролирует inline-скрипты и внешние ресурсы. Флаги HttpOnly и Secure для cookie — предотвращают чтение cookie через JavaScript. Фреймворки React, Vue, Angular автоматически защищают от XSS — следует остерегаться dangerouslySetInnerHTML.

Наши курсы по этой теме
Поделиться