Смягчить риск использования сценариев Cross Site Scripting (XSS) с помощью helmet.xssFilter ()
Напомним, что этот проект строится на следующем стартовом проекте Glitch или клонируется из GitHub . Межсайтовый скриптинг (XSS) является частым типом атаки, когда вредоносные скрипты вводятся на уязвимые страницы с целью кражи конфиденциальных данных, таких как файлы cookie сеансов или пароли. Основное правило снизить риск атаки XSS очень просто: «Никогда не доверяйте пользовательскому вводу». Как разработчик, вы всегда должны дезинфицировать все входящие извне. Сюда входят данные, поступающие из форм, URL-адреса запроса GET и даже из органов POST. Sanitizing означает, что вы должны найти и закодировать символы, которые могут быть опасны, например <,>. Современные браузеры могут помочь смягчить риск, приняв более совершенные стратегии программного обеспечения. Часто они настраиваются через заголовки http. HTTP-заголовок X-XSS-Protection является основной защитой. Браузер обнаруживает потенциальный вложенный сценарий с использованием эвристического фильтра. Если заголовок включен, браузер меняет код сценария, нейтрализуя его. Он по-прежнему имеет ограниченную поддержку.