Hasło słownika

XSS

Wstrzyknięcie złośliwego JavaScriptu do strony, żeby przejąć sesję lub wykonać akcje w imieniu użytkownika.

Cyberbezpieczeństwokategoria
1aliasy
Kategoria: Cyberbezpieczeństwo
Aliasy: Cross-Site Scripting

Opis

XSS bywa stored, reflected lub DOM-based. Najważniejsza obrona to: poprawne escaping, CSP, bezpieczne templatingi i ograniczanie HTML w treściach użytkownika.

Przykłady

  • Złośliwy skrypt w komentarzu kradnie cookie sesyjne.
  • Payload w parametrze URL wykonuje się po wejściu na stronę.
  • DOM XSS przez niebezpieczne użycie innerHTML.
OWASP Top 10CSRFPrzejęcie sesjiCSP