2.8 KiB
| title | localeTitle |
|---|---|
| XSS Cross Site Scripting | XSS عبر برمجة الموقع |
XSS عبر برمجة الموقع
يعد البرمجة عبر الموقع (XSS) نوعًا من أنواع حقن الكود. وهو أحد أكثر نقاط الضعف شيوعًا على الويب.
عادةً ما ينطوي XSS على إدخال رمز في نموذج أو معلمة url أو أي مكان آخر يقبل إدخال المستخدم الذي يتم عرضه للمستخدمين. على سبيل المثال ، تخيل موقع ويب أظهر ملف تعريف المستخدم الخاص بك ، وقمت بإدخال <script>alert("HELLO!");</script> كاسم المستخدم الخاص بك. إذا لم يمنع الموقع XSS ، فسيحصل كل شخص زار ملفك الشخصي على نافذة تنبيه منبثقة.
أنواع مختلفة من XSS
هناك 3 أنواع مختلفة من XSS.
- مخزنة XSS
- عاكس XSS
- DOM Based XSS
مخاطر XSS
بالطبع ، لا يقدم المثال أعلاه أي خطر مباشر على الأشخاص الذين يشاهدون ملفك الشخصي. ولكن ، ماذا لو كان لديك نوايا أكثر شرا؟ يمكنك تنفيذ بعض javascript لإظهار صفحة تسجيل دخول مزيفة ، وجمع أسماء المستخدمين وكلمات المرور للمستخدمين الآخرين للموقع ، أو ببساطة قراءة ملف تعريف ارتباط الجلسة إذا لم يكن آمنًا. يمكنك إجبارهم على زيارة مواقع ويب أخرى أو تنفيذ إجراء.
الدفاع ضد XSS
- لا تثق أبدًا ببيانات المستخدم
- التحقق من صحة البيانات غير الموثوقة (التحقق من وجود بيانات صالحة ، أو رفضها ، بدلاً من معالجتها)
- قيم آمنة في القائمة البيضاء (بدلاً من القائمة السوداء)
- قم دائمًا بتشفير الإخراج
- ترميز للسياق الصحيح (تختلف سمات HTML / HTML / CSS / JSS)
- حماية ملفات تعريف الارتباط (يمكن قراءة HTTP فقط وآمن فقط من قبل الخادم)
- تطبيق سياسة أمن المحتوى
معلومات اكثر:
اقرأ المزيد من المعلومات عن XSS والخطوات التي يمكنك اتخاذها للحماية من:
[OWASP XSS (البرمجة عبر الموقع) منع ورقة الغش](https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)