XSS neden tehlikelidir?


XSS, saldırganın kullanıcının tarayıcısında JavaScript çalıştırmasını sağlayabilir. Bu durum oturum çalma, sahte form gösterme, kullanıcı adına işlem yaptırma veya sayfa içeriğini değiştirme gibi riskler doğurur.



Reflected ve stored XSS farkı


Reflected XSS genellikle URL veya form parametresinin anında sayfaya basılmasıyla oluşur. Stored XSS ise zararlı içeriğin veritabanına kaydedilip diğer kullanıcılara gösterilmesiyle daha kalıcı hale gelir.



Output encoding


HTML içinde gösterilecek kullanıcı verisi htmlspecialchars ile encode edilmelidir. Böylece