XSS-атаки: Cross-Site Scripting защита

XSS — выполнение чужого JavaScript на сайте. Cookie кража, session hijack.

Виды

Reflected, Stored, DOM-based.

Защита: escaping

htmlspecialchars($input, ENT_QUOTES, 'UTF-8').

CSP

Content-Security-Policy header — запрет внешних скриптов.

HttpOnly cookies

JS не читает cookies.

Framework auto-escape

React, Vue, Angular.