DOM-based XSS
DOM-pohjainen XSS on tietoturva-aukko, jonka avulla hyökkääjät hyödyntävät verkkosivuston käyttäjän selaimen Document Object Model (DOM) -puuta. Hyökkääjä lähettää verkkosivustolle haitallista koodia, joka sittemmin saa selaimen lataamaan ja suorittamaan sen. Tämä antaa hyökkääjälle mahdollisuuden saada pääsyn käyttäjän selaimessa oleviin tietoihin ja evästeisiin.
Esimerkki:
Hyökkääjä luo haitallisen verkkosivun, joka sisältää JavaScript-koodia, joka varastaa käyttäjän evästeet. Käyttäjä avaa haitallisen verkkosivun. Koodi saa selaimen lähettämään käyttäjän evästeet hyökkääjän sivulle. Hyökkääjä voi nyt käyttää näitä evästeitä esimerkiksi kirjautumalla käyttäjän tilille ilman käyttäjän suostumusta.
Voit suojautua DOM-pohjaiselta XSS:ltä käyttämällä verkkosivustolla turvallisia käytäntöjä, kuten validointia, datansyötön rajapinnan (API) käyttöä, tietojen desinfiointia ja suojausta.