XSS (Cross Site Scripting) Açığı Nasıl Çalışır?
XSS (Cross-Site Scripting), bir saldırganın güvenilir bir web sitesine kötü niyetli JavaScript kodları enjekte ederek bu kodları son kullanıcının tarayıcısında çalıştırmasıdır. SQL Injection veri tabanını hedeflerken, XSS doğrudan kullanıcı oturumunu (çerezler, form verileri) hedef alır. Zafiyet; zararlı kodun sunucuda saklandığı Stored, anlık olarak yansıtıldığı Reflected ve istemci tarafında tetiklendiği DOM-based olmak üzere üç ana türe ayrılır. Savunma stratejisi; verinin ekrana basılmadan önce HTML Encoding işleminden geçirilmesi, HttpOnly çerez kullanımı ve İçerik Güvenliği Politikası (CSP) başlıklarının titizlikle yapılandırılması üzerine inşa edilir.