Что такое межсайтовый скриптинг?

Межсайтовый скриптинг, сокращенно называемый XSS, представляет собой уязвимость, позволяющую злоумышленнику вставить вредоносный код (JavaScript) в скрипт веб-сайта. Если сценарий признан уязвимым, злоумышленник может отправить по электронной почте или опубликовать ссылку на этот сценарий веб-сайта, чтобы атаковать компьютер пользователя.

  • Выполнить код JavaScript.
  • Получите доступ к файлам cookie, хранящимся на компьютере, чтобы получить доступ к учетной записи жертвы.
  • Создать поддельные страницы входа, которые крадут данные для входа.
  • Доступ к веб-камерам и микрофонам, подключенным к компьютеру.
  • Обходите безопасность сайта, предназначенную для защиты вас и вашего компьютера.
  • Создайте сценарий, который зацикливается или вызывает другие проблемы, вызывающие сбой браузера.
  • Помогите другим компьютерам выполнить DDoS-атаку на другом сервере.
  • Дайте внешний вид сайта, который испорчен.
  • Помогите распространять спам, переводить деньги или выполнять другие действия в учетной записи пользователя.
  • Всегда будьте осторожны со ссылками, присланными по электронной почте и размещенными в социальных сетях.
  • Никогда не нажимайте на ссылку, сообщающую о какой-либо финансовой службе или других конфиденциальных веб-сайтах. Если ваш банк, кредитная карта или связанная с ним служба хочет, чтобы вы щелкнули ссылку, откройте браузер и введите веб-адрес в адресной строке.
  • Ознакомьтесь с фишинговой тактикой.
  • Когда закончите с вашей учетной записью онлайн, выйдите.
  • Держите ваш браузер в актуальном состоянии с последней версией.
  • Ознакомьтесь со всеми способами защиты себя в Интернете.
  • Всегда предполагайте, что любые данные, переданные в скрипт, являются вредоносными.
  • Правильно кодируйте, экранируйте и очищайте представленные данные.
  • Избегайте кавычки (") с" и одиночной кавычки (') с', чтобы избежать побега.
  • Принимайте только те данные, которые вам нужны. Например, если поле предназначено для имени, принимайте только буквы от A до Z и убирайте любые цифры и другие символы.
  • Никогда не принимайте и не запускайте код JavaScript из ненадежного источника.
  • Никогда не помещайте принятые данные в