Cross Site Sсriрting, або XSS (в перекладі з англійської - межсайтінговий скриптинг) - це тип вразливості сайтів, що виникає при попаданні користувача скриптів в генеруються веб-сервером сторінки. На думку фахівців з securitylab.ru, на XSS припадає понад 15% інтернет-атак. Вони дозволяють отримати третім особи доступ до призначених для користувача файлів cookies та іншої конфіденційної інформації, утруднити взаємодію відвідувачів з сайтом або впровадити в їх операційну систему шкідливий код. Тому при розкручуванні сайту розробляють методи захисту від даної загрози.

Види

Залежно від механізму виконання розрізняють активні і пасивні XSS. У першому випадку шкідливі скрипти зберігаються на сервері сайту і виконуються в браузері користувача при спробі відкрити будь-яку сторінку. Для спрацьовування пасивних XSS від браузера відвідувача потрібне додаткове дію (наприклад, натискання на спеціально створену посилання).

Залежно від каналів впровадження коду виділяються наступні уразливості:

  • використання HTML тегів в повідомленнях на сайті для форматування тексту. При відсутності належного рівня фільтрації таких постів в них можуть бути вставлені теги <script>, що відправляють зломщику cookies користувачів при перегляді, наприклад, певної теми форуму, або відкривають в браузері відвідувачів довільні посилання. Захистом від такої атаки є видалення всіх тегів, крім дозволених;
  • відсутність фільтрації дозволених тегів: назв атрибутів і їх значень. Шкідливий скрип може бути впроваджений, наприклад, в тег img. Для захисту від даної уразливості застосовується жорстка фільтрація тегів і заборона використання протоколів data і javascript у всіх гіперпосиланнях;
  • зміна кодування в тайтли сторінки. Для усунення такої вразливості при пошукової оптимізації сайту кодування сторінки вказується до призначених для користувача полів.

Також розрізняють моментальні XSS, при яких скрипт повертається відразу як відповідь на HTTP запит, і відкладені - код зберігається в системі і впроваджується в HTML сторінку через певний період часу.

Індексація сайту

При просуванні сайту XSS атаки можуть заважати його нормальній індексації через появу великої кількості згенерованих сторінок. Заборонити роботу обходити їх можна в файлі robots.txt.

Як стати клієнтом GoToTOP?

Для замовлення стратегії в Львові або Львівській області просто заповніть заявку. Менеджер по роботі з клієнтами зв'яжеться з вами і підготує персональне комерційну пропозицію performance-marketing агентства GoToTOP, складене з урахуванням ваших цілей і можливостей.

Відправляючи форму, ви погоджуєтеся на обробку персональних даних, захищених політикою конфіденційності та оброблюваних для виконання вашої заявки.