Атака  XSS  или  Межсайтовый скриптинг

Привет всем читателям.Здесь и сейчас о XSS атаках.
Написать эту статью меня подтолкнула одна тема на Сабскрайбе..
после которой я у себя в браузере увидел...вот это-------
<script>alert("cookie: "+document.cookie)</script> и про эту
непонятку я написал в одном из комменариев....
(функция alert).
Что бы уметь хорошо защищаться, необходимо знать и способы атак.
Сегодня речь пойдет о методе атаки под названием XSS.

Название межсайтовый скриптинг происходит от английского Сross Site
Sсriрting. Конечно, можно было  дать аббревиатуру СSS, но она ко
времени формирования метода была уже, так сказать, забронирована и
означала Сasсading Style Sheets, что в переводе означает каскадные
таблицы стилей. И что бы не было путаницы-для первой буквы аббревиатуры
приспособили «Х». Как уже говорилось, особенность атаки заключается не в том,
чтобы нанести ущерб не серверу, а, наоборот, посетителю сайта.
Происходит это путем подсовывания последнему специально построенной ссылки.

При осуществлении атаки такого типа используются два метода запросов: РOST и GET

Как уже говорилось,существует два способа осуществления атаки XSS.

Первый — использование РOST-запроса, второй — использование GET-запроса.

                           Какие способы защиты

В роли защиты как минимум начального уровня может быть фильтр значений
адресной строки. Он поможет пользователю очистить адресную строку от
ненужных символов типа > < “ ‘. Тут стоит отключить выполнение
скриптов. Все жестко, но результат получается более менее предсказуемым.

читать далее