XSS — hujumchi JavaScript kodini veb sahifaga kiritib, boshqa foydalanuvchilarning brauzerida ishlatishi. Reflected XSS: zararli kod URL da, jabrlanuvchi o'sha URL ga kiradi. Stored XSS: kod ma'lumotlar bazasiga saqlanadi (izohlar, postlar). DOM-based XSS: client-side JavaScript da yashirinadi.
Himoya: Output encoding — HTML sahifaga chiqarishda barcha maxsus belgilar escape qilinadi (<, &). Content Security Policy (CSP) header — inline script va tashqi manbalar nazorat qilinadi. HttpOnly va Secure cookie flag lar — JavaScript orqali cookie o'qilishining oldini oladi. React, Vue, Angular kabi frameworklar XSS dan avtomatik himoya qiladi — dangerouslySetInnerHTML dan ehtiyot bo'lish kerak.
Bu mavzu bo'yicha kurslarimiz