greatbody
/
freeCodeCamp
mirror of https://github.com/freeCodeCamp/freeCodeCamp.git
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
freeCodeCamp/guide/russian/security/xss-cross-site-scripting/index.md

41 lines
3.5 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

---
title: XSS Cross Site Scripting
localeTitle: XSS Cross Site Scripting
---
## XSS Cross Site Scripting
Cross Site Scripting (XSS) - это тип инъекции кода. Это одна из самых распространенных уязвимостей в Интернете.
XSS обычно включает ввод кода в форму, параметр url или где-либо еще, который принимает пользовательский ввод, который отображается обратно пользователям. Например, представьте себе веб-сайт, на котором был показан ваш профиль пользователя, и вы ввели `<script>alert("HELLO!");</script>` качестве вашего имени пользователя. Если сайт не помешал XSS, каждый пользователь, посетивший ваш профиль, получит всплывающее предупреждение.
#### Различные типы XSS
Существует 3 разных типа XSS.
* Сохраненный XSS
* Светоотражающий XSS
* Основанный на DOM XSS
#### Опасности XSS
Конечно, приведенный выше пример не представляет непосредственной опасности для тех, кто просматривает ваш профиль. Но что, если у вас были более зловещие намерения? Вы можете выполнить некоторый javascript, чтобы показать страницу поддельного входа, и собрать имена пользователей и пароли для других пользователей сайта или просто прочитать файл cookie сеанса, если он небезопасен. Вы можете заставить их посетить другие веб-сайты или выполнить какое-либо действие.
#### Защищать от XSS
* Никогда не доверяйте данным пользователя
* Проверяйте ненадежные данные (проверяйте правильность данных, если они недействительны, отклоняют, а не обрабатывают)
* Безопасные значения белого списка (а не черный список)
* Всегда кодировать вывод
* Кодировка для правильного контекста (атрибуты HTML / HTML / CSS / JSS - все разные)
* Защита файлов cookie (только HTTP и защита могут быть прочитаны только сервером)
* Внедрение политики безопасности контента
#### Дополнительная информация:
Ознакомьтесь с дополнительной информацией о XSS и о шагах, которые вы можете предпринять для защиты от:
[Межсайтовый скриптинг (XSS)](https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) )
[Предупреждение об ошибках OWASP XSS (Cross Site Scripting)](https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)
[Hacksplaining XSS Lesson](https://www.hacksplaining.com/exercises/xss-stored)
Reference in New Issue View Git Blame Copy Permalink