F
Frontend
Вопросы
Тренажер вопросов
Тесты
Задачи
скоро
Поиск по сайту
Ctrl + K
Вопросы по Веб-разработке
Как работает AJAX и чем он отличается от традиционных запросов?
Как реализовать обработку ошибок при запросах к API?
Что такое API-ключ и как его использовать?
Что такое API-версионирование и зачем оно нужно?
Как осуществляется авторизация и аутентификация в веб-приложениях?
Как избежать проблем с CORS в веб-приложении?
Как работает кеширование в браузере? Что такое ETag, Cache-Control и другие заголовки кеша?
Что такое CSP и как она помогает повысить безопасность?
Как работают куки и сессии в контексте веб-приложений?
Как работает блокировка запросов в результате политик безопасности (например, CSP)?
Как реализовать защиту от CSRF в веб-приложении?
Какие инструменты для отладки сетевых запросов вы знаете?
В чём разница между HTTP и HTTPS?
Что такое DNS и как происходит разрешение доменного имени в IP-адрес?
В чём разница между доменными и поддоменными запросами?
Как обеспечить безопасность данных при передаче по сети?
Как использовать Fetch API для выполнения HTTP-запросов?
Как браузеры управляют параллельными соединениями?
Как работает механизм сжатия данных в HTTP?
Что такое заголовки HTTP? Назови 5 полезных заголовков и их назначения.
Какие заголовки HTTP вы можете использовать для оптимизации производительности?
Как работают Keep-Alive соединения в HTTP/1.1?
Какие HTTP-методы вы знаете и в чём их назначение?
Объясни разницу между кодами ответа HTTP 200, 301, 400, 401, 403, 404, 500.
Что такое HTTP/2 и чем он отличается от HTTP/1.1?
Как работает последовательность handshake при HTTPS-соединении?
Что такое IP-адрес и чем отличаются IPv4 и IPv6?
Что такое JSON и как его использовать в веб-приложениях?
Что такое нагрузочное тестирование и как его проводить?
Как управлять временными ограничениями запросов?
Что такое микросервисы и как они связаны с архитектурой приложений?
Что такое MIME-типы и зачем они нужны?
Как можно отслеживать производительность сетевых запросов?
Какие бывают типы атак через сеть и как их можно ограничить с фронта?
На каком уровне модели OSI работают HTTP, TCP, и IP?
Что такое preflight-запрос и когда он отправляется?
Что такое XSS и как его предотвратить на уровне фронтенда?
Как работает механика обмена данными в реальном времени?
Чем отличаются заголовки Request Headers и Response Headers?
Каковы отличия между REST и GraphQL?
Как работает механизм retry при неудачных запросах?
Что такое Same-Origin Policy?
В чём разница между Same-Origin Policy и CORS?
Что такое сокеты и как они используются в веб-разработке?
Что такое сертификаты SSL и как они обеспечивают безопасность?
Что такое TCP и чем он отличается от UDP?
Как работает TLS и зачем он нужен в HTTPS?
Как работает механизм авторизации через токены (Bearer, JWT)?
Что такое TTL в DNS-записях?
Как работает механика соединений в WebSocket?
Что такое WebSocket и когда его лучше использовать вместо HTTP?
Что происходит при вводе URL в адресной строке браузера?
Что такое CDN и зачем он используется?
Что такое CORS и как он работает?
Что такое HTTP и как он работает?
Что такое MTU (Maximum Transmission Unit)?
Что такое NAT и как он работает?
Что такое прокси-сервер и зачем он может использоваться на клиенте?
Что такое заголовок Referer и как его можно ограничивать?
Что такое RESTful API и как его использовать?
Что такое VPN и как он влияет на сетевые запросы?
Что делает заголовок X-Content-Type-Options=nosniff ?

Что такое XSS и как его предотвратить на уровне фронтенда?

XSS (Cross-Site Scripting) — это уязвимость в веб-приложениях, которая позволяет злоумышленникам вставлять и выполнять произвольный скрипт на веб-странице, которую видит другой пользователь. Это может привести к различным последствиям, включая кражу данных (например, куки, токены авторизации) и манипуляцию с контентом на странице.

Примеры XSS

Наиболее распространенные виды XSS:

  • Reflected XSS: Код передается через URL и выполняется на странице без сохранения.
  • Stored XSS: Код сохраняется на сервере и встраивается в страницы, когда другие пользователи обращаются к ним.
  • DOM-based XSS: Код выполняется в браузере, когда клиентскую часть скрипта можно изменять с помощью взаимодействия с DOM.

    • Как предотвратить XSS на уровне фронтенда?

  • Санитизация пользовательского ввода: Прежде чем отображать любой ввод, убедитесь, что он безопасен. Далее представлен пример функции для очистки HTML:
    function sanitizeInput(input) {
    const div = document.createElement('div');
    div.textContent = input; // Конвертирует в текст (экранирует HTML)
    return div.innerHTML;
}

const userInput = '<script>alert("XSS")</script>';
const safeInput = sanitizeInput(userInput);
console.log(safeInput); // &lt;script&gt;alert("XSS")&lt;/script&gt;
  • Использование безопасных API: Используйте библиотеку для работы с HTML, которая уже защищает от XSS. Например, React берет на себя экранирование данных по умолчанию.
    import React from 'react';

function UserComment({ comment }) {
    return <div>{comment}</div>; // React экранирует comment
}
  • Содержимое заголовков: Убедитесь, что на сервере установлены правильные заголовки безопасности:
    • Content-Security-Policy (CSP) — ограничивает, какие ресурсы могут исполняться на странице.
    • X-Content-Type-Options — предотвращает интерпретацию файлов, если они не совпадают с заявленным типом.

    Пример заголовка CSP:
    Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none';
  • Экранирование данных перед вставкой в HTML: Если вы используете шаблонизаторы (например, Handlebars, EJS), они часто по умолчанию экранируют данные. Убедитесь в этом.
  • Регулярное обновление библиотек и фреймворков: Все популярные фреймворки и библиотеки могут содержать уязвимости. Используйте актуальные версии и следите за обновлениями.

    • Заключение

    Понимание и предотвращение XSS-уязвимостей является одной из важнейших задач для фронтенд-разработчиков. Следуя приведенным рекомендациям и используя безопасные методики работы с данными, вы сможете значительно повысить безопасность ваших веб-приложений.

    Предыдущий вопрос
    Что такое preflight-запрос и когда он отправляется?
    Следующий вопрос
    Как работает механика обмена данными в реальном времени?
    Содержание:
    Примеры XSS
    Как предотвратить XSS на уровне фронтенда?
    Заключение
    Редактировать