xss – Cross-site Scripting

XSS розшифровується як CROSS-SITE SCRIPTING. Цікава абрівіатура, так як виникло співпадння з касакдними таблицями стілів (css), вирішили першу с замінити на х. Все для людей.

Виникає вразливість коли довірились даним введеним користувачу і вивели їх (дані) на клієнті так як є.

Звідси випливає захист – потрібно не довіряти даним отриманим від користувача, а саме перетворювати html теги які можуть бути надіслані до сервера на html сутності. Що це таке у вікі

Буває двох типів. Ті які зберігаються на сервері і ті яки динамічно відображаються.

Перший тип – коли код отриманий від користувача записується в базу даних і виводиться на якійсь сторінці. Наприклад, підпис під повідомленнями на форумі. Якщо це поле вразливе, то код зловмисника буде виконуватись у браузерах при відвіданні сторінки з цим підписом.

‘”/test/></title/</script/</style/–>{{7*7}}<iframe/onload=’alert“'<!–