- بواسطة x32x01 ||
إزاي تحمي نفسك من ثغرات الـ XSS؟ 
ثغرات الـ XSS من أكتر الثغرات اللي بتتكرر في عالم الويب، وممكن تفتح باب كبير للاختراق وسرقة بياناتك من غير ما تحس 
.بس متقلقش، في شوية خطوات بسيطة لو التزمت بيها هتحمي نفسك بنسبة كبيرة جدًا
أولًا: لو إنت مستخدم عادي 
1. حدّث متصفحك دايمًا 
تأكد إنك بتستخدم آخر إصدار من متصفح الإنترنت، ومعاه كل خيارات الحماية المفعّلة زي XSS Filter.ولو بتستخدم متصفح Firefox (اللي مش فيه الفلتر ده)، يفضل تركب إضافة NoScript، لأنها بتمنع الأكواد الغريبة من إنها تشتغل أو تستغلك.
2. خلي بالك من الروابط المشبوهة 
ما تضغطش على أي لينك كده وخلاص! بعض الروابط شكلها عادي، لكنها فيها أكواد خبيثة بتستغل ثغرات XSS علشان تسرق الـ Cookies أو بيانات الدخول بتاعتك.3. دايمًا اعمل "تسجيل خروج" بعد ما تخلص 
لما تخلص شغلك على أي موقع أو تطبيق ويب، لازم تعمل Sign Out.الخطوة الصغيرة دي ممكن تمنع حد من استغلال جلستك المفتوحة لو حصل تسريب أو XSS في الموقع.
ثانيًا: لو إنت مبرمج 
الثغرات دي بتحصل لما التطبيق مايفحصش المدخلات بشكل كافي. خلينا نفهم إزاي ونشوف إزاي نحمي الكود بتاعنا 1. افحص كل مدخلات المستخدم 
المثال الكلاسيكي:لو المستخدم كتب اسمه في حقل، والبرنامج عرض الاسم في الصفحة من غير فحص، والمستخدم كتب كود HTML بدل الاسم - المتصفح هيشوف الكود عادي وينفذه!
يعني أي سكربت ضار ممكن يشتغل في صفحة المستخدم.
الحل:- استخدم input validation صارم.
- لو المطلوب أرقام، ماتسمحش بحروف.
- استخدم القوائم البيضاء (Whitelist) بدل القوائم السوداء - يعني تسمح بس بالقيم المصرّح بيها وترفض الباقي.
2. ظبط ترميز الحروف (Character Encoding) 
تأكد إن Encoding الصفحة مطابق للِّي البرنامج محتاجه (UTF-8 مثلًا).لأن أوقات بيتم استغلال اختلاف الترميز علشان يكسروا الحماية أو يشغّلوا كود XSS بطريقة خبيثة.
3. استخدم أدوات فحص احترافية 
افحص موقعك أو تطبيقك باستخدام أدوات متخصصة زي:- OWASP ZAP (أداة مفتوحة المصدر ومجانية).
هتساعدك تكتشف ثغرات XSS وغيرها قبل ما الهاكر يكتشفها عنك
.
4. فعّل خاصية HTTPOnly في الـ Cookies 
لما تسجل حالة المستخدم، فعّل HTTPOnly flag.ده بيمنع أي كود JavaScript من قراءة الـ Cookies وبالتالي يمنع سرقتها أو انتحال هوية المستخدم.
5. استخدم سياسة أمن المحتوى CSP 
الـ Content Security Policy (CSP) بتخلي المتصفح ينفّذ الأكواد بس من مصادر موثوقة.هي شغالة بنفس فكرة القوائم البيضاء - يعني انت اللي بتحدد إيه المسموح يشتغل جوه الصفحة وإيه لا.
6. استخدم جدار حماية WAF كطبقة إضافية 
نصّب Web Application Firewall (WAF) زي modSecurity علشان تضيف طبقة حماية إضافية ضد استغلال ثغرات XSS.بس خليك فاكر: الـ WAF مش حل سحري، هو مجرد دفاع إضافي مش بديل عن الكود الآمن.
الخلاصة 
لو إنت مستخدم - خليك حذر وحدث متصفحك.ولو إنت مبرمج - اشتغل دايمًا على تأمين المدخلات، استخدم Encoding صحيح، وفحص دوري بالأدوات الأمنية.
الحماية من XSS محتاجة وعي أكتر من أي حاجة، مش مجرد أكواد أو إضافات.
الهاكر بيستغل غلطة صغيرة، فلا تديه الفرصة
التعديل الأخير: