rishatss
@rishatss
Simple Developer ^)

А как вы проверяете уязвимости на сайте XSS атак?

Добрый день.
Скажите пожалуйста как вы работаете с XSS атаками.
Вот я на винде часто просто в поля вставлял JS код и видел что да как.
Но там я использовал Internet Explorer. Он с радостью выводил JS код который был отправлен как XSS атака.

Ноо в таких браузерах как Google Chrome. Мазила и тд. Никак не могу вывести JS XSS атаку..

Может где-то включается это в браузерах ? Защищены как я понял браузеры от этого.
  • Вопрос задан
  • 2201 просмотр
Пригласить эксперта
Ответы на вопрос 5
mountpoint
@mountpoint
Канал по фронтенду https://t.me/frontend_guru
Есть такой заголовок как X-XSS-Protection, который управляет защитой от XSS. Про этот и другие заголовки читайте тут https://habrahabr.ru/post/317720/
Ответ написан
@kidar2
Браузеры не предоставляют такую защиту. Разработчик сам должен заботиться об экранировании вывода пользовательских данных.
Ответ написан
@Xrizolin
Йоу.
Основная причина возникновения XSS - отсутствие фильтрации пользовательского ввода на (&, <, >, ", ')

Большинство современных ORM, шаблонизаторов в языках выполняют эскейпинг пользовательских данных, что должно защищать от XSS. К сожалению часто разработчики выключают эти проверки руками.
Смотри этот полный читщит https://www.owasp.org/index.php/XSS_(Cross_Site_Sc...

Кстати, я один из разработчиков сканера уязвимостей, в том числе и XSS - https://metascan.ru
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы