Sanityzacja. Temat stary jak web, a XSS… nadal zbiera swoje żniwo.
Niby walidujemy inputy.
Niby framework „coś tam” zabezpiecza.
Niby wiemy, że innerHTML to zło.
A jednak XSS wciąż się zdarza - i to częściej niż chcielibyśmy przyznać.
W najnowszym wpisie rozkładam XSS na czynniki pierwsze:
-
czym naprawdę jest Cross-Site Scripting,
-
jakie są rodzaje XSS i dlaczego stored jest najgroźniejszy,
-
dlaczego sama sanityzacja to za mało,
-
gdzie kod wygląda niewinnie (setAttribute, href, src), a otwiera drzwi atakowi,
-
i czemu architektura aplikacji potrafi być lepszą obroną niż kolejny regex.
To wpis o rutynie, o fałszywym poczuciu bezpieczeństwa i o tym, dlaczego warto śledzić realne ataki, a nie tylko checklisty z OWASP.
Jeśli piszesz aplikacje webowe i myślisz „mnie to nie dotyczy” - tym bardziej warto przeczytać.
Całość: https://thecommitline.substack.com/p/xss-nadal-grozny-jak-front-end-moze
#programowanie #frontend #cyberbezpieczenstwo
