Что такое XSS-атаки

12 октября 202512 окт 2025

~1 мин

Что такое XSS-атаки XSS (Cross-Site Scripting) — это уязвимость, при которой внедряется вредоносный JavaScript-код на сайт. Он выполняется в браузере других пользователей и может украсть куки, перенаправить на фишинговую страницу или что угодно. Как это происходит: Пользователь вводит данные (например, комментарий), а сайт выводит их на страницу без обработки. Если вместо текста вставить <script>...</script>, браузер выполнит его как код. Пример опасного сценария:  <div><?= $_GET['комментарий'] ?></div>  Как защититься: - Всегда экранируйте ввод перед выводом на страницу (в PHP — htmlspecialchars()) - Не вставляйте данные напрямую в HTML, JS или атрибуты без проверки - Используйте Content Security Policy (CSP) как дополнительную защиту - Храните куки с флагами HttpOnly и Secure XSS — одна из распространённых уязвимостей. Но её легко избежать, если никогда не доверять данным от пользователя. @Zeni

Что такое XSS-атаки

XSS (Cross-Site Scripting) — это уязвимость, при которой внедряется вредоносный JavaScript-код на сайт. Он выполняется в браузере других пользователей и может украсть куки, перенаправить на фишинговую страницу или что угодно.

Как это происходит:

Пользователь вводит данные (например, комментарий), а сайт выводит их на страницу без обработки. Если вместо текста вставить <script>...</script>, браузер выполнит его как код.

Пример опасного сценария:

Как защититься:

- Всегда экранируйте ввод перед выводом на страницу (в PHP — htmlspecialchars())

- Не вставляйте данные напрямую в HTML, JS или атрибуты без проверки

- Используйте Content Security Policy (CSP) как дополнительную защиту

- Храните куки с флагами HttpOnly и Secure

XSS — одна из распространённых уязвимостей. Но её легко избежать, если никогда не доверять данным от пользователя.

@ZeniFlow - подписаться.