SEOMaster
XSS (cross-site scripting) (XSS)
Wstrzyknięcie obcego skryptu na stronę.
Co to jest XSS (cross-site scripting)?
XSS (Cross-Site Scripting) to atak, w którym napastnik wstrzykuje swój JavaScript w treść strony — np. przez nieoczyszczone pole komentarza — a skrypt wykonuje się w przeglądarce innych użytkowników.
Taki kod może wykraść ciasteczka sesji, podmienić treść albo wykonać akcje w imieniu ofiary. To jedna z najczęstszych i najgroźniejszych podatności webu.
Dlaczego to ważne dla SEO
Skutki XSS bywają poważne: przejęcie konta, kradzież danych, oszustwa. Obrona (oczyszczanie danych wejściowych + CSP) to podstawa bezpieczeństwa aplikacji.
Jak to sprawdzić
To kwestia kodu i konfiguracji; pomaga dobra polityka CSP (SEOMaster sprawdza jej obecność) oraz testy bezpieczeństwa. Każde dane od użytkownika traktuj jako niezaufane.
Częste błędy
- Wstawianie danych użytkownika do HTML bez oczyszczenia
- Brak polityki CSP jako drugiej warstwy obrony
- Zaufanie do treści z zewnętrznych źródeł
Przykład
<!-- podatne --> element.innerHTML = daneOdUzytkownika