XSS SHIELD

Cybersecurity • Web Protection

XSS ATTACK

Cross-Site Scripting позволяет злоумышленникам внедрять вредоносный JavaScript-код в веб-страницы и выполнять его в браузере других пользователей.

Узнать больше Пройти тесты
Смотреть угрозы

<script>alert('XSS')</script>

⚠️

Threat Detected

Browser vulnerability attempt blocked.

SECURE

Что такое XSS?

XSS (Cross-Site Scripting) — это одна из самых опасных уязвимостей веб-приложений. Она позволяет злоумышленнику внедрять вредоносный JavaScript-код на сайт, воровать cookies, токены и получать доступ к пользовательским данным.

Attack Types

Типы XSS-атак

💀

Stored XSS

Вредоносный скрипт сохраняется в базе данных и выполняется у всех пользователей сайта.

⚠️

Reflected XSS

Скрипт передается через URL, форму или параметры запроса и сразу выполняется браузером.

🧠

DOM XSS

Уязвимость возникает внутри JavaScript-кода браузера без участия серверной части.

Protection

Как защититься

Путь атаки (Kill Chain) → Демо CSP и cookies →

1

Escape HTML

Экранируйте пользовательские данные.

2

Content Security Policy

Используйте CSP для блокировки опасных скриптов.

3

Sanitize Input

Очищайте пользовательский ввод перед обработкой.

4

Escape innerHTML

Никогда не вставлять пользовательский ввод через innerHTML.

5

HttpOnly cookies

Даже если XSS произошёл, злоумышленник не сможет украсть cookie через JS.

6

Использовать современные фреймворки

Многие фреймворки автоматически защищают от XSS: React, Vue.js, Angular.

7

Trusted Types

Современный механизм защиты от DOM XSS.