العودة إلى الدورة

الوقاية من ثغرات Cross-Site Scripting (XSS)

Modern DevSecOps (The Hard Way)

تنقية المدخلات

يحدث XSS عندما يتم حقن سكربتات ضارة في مواقع موثوقة.

نهج DevSecOps:

  1. سياسة أمان المحتوى (CSP): قم بضبط الترويسات في إعدادات YAML أو Nginx لتقييد المصادر التي يمكن تحميل السكربتات منها.
  2. SAST: استخدم Semgrep للعثور على الأماكن التي يتم فيها عرض مدخلات المستخدم دون معالجة (escaping).