XSS (Cross-Site Scripting) — это уязвимость, при которой злоумышленник внедряет вредоносный скрипт на веб-страницу, который затем выполняется в браузере других пользователей.

Основные способы защиты от XSS:

Экранирование вывода: Все данные, полученные от пользователя, должны быть корректно экранированы перед выводом в HTML, чтобы теги и скрипты не интерпретировались браузером.
Content Security Policy (CSP): Настройка политики безопасности контента, которая ограничивает источники скриптов и других ресурсов.
Валидация и фильтрация входных данных: Проверять и ограничивать формат и содержимое данных, вводимых пользователями.
Использование безопасных методов вставки данных: Например, при работе с DOM использовать методы, которые не интерпретируют HTML (textContent вместо innerHTML).

Пример экранирования в JavaScript:

const userInput = '<script>alert("XSS")</script>';
const safeOutput = document.createTextNode(userInput);
document.getElementById('output').appendChild(safeOutput);

Таким образом, вредоносный скрипт не выполнится, а будет показан как текст.

Как защититься от XSS?