Методика защиты. 
Проблемы безопасности сайтов и их защита от атаки, основанной на внедрении JavaScript-кода

Универсального способа защиты от всех случаев атаки XSS нет. Есть общие принципы, которые показывают обычно на примерах. Для начала необходимо найти все уязвимости сайта этой атаке. Процесс довольно прост и сводится к поиску всех страниц на которых есть форма ввода. Затем вводить в формы различные варианты простых инъекции кода и проверять что получилось. Если в результате появились всплывающие окна — сайт уязвим для xss-атаки. Далее необходимо проверить страницы, обрабатывающие параметры типа GET.

После нахождения уязвимых мест сайта, необходимо перейти к непосредственной защите. Это в первую очередь фильтрование входных данных для всех переменных на предмет обнаружения специальных символов. В обычном тексте от пользователя их быть не должно. В дополнение к вышеприведенному способу защиты, можно использовать и защиту от XSS на сервере, использовать заголовки безопасности HTTP [10].

Заключение

В статье было проведено исследование атаки XSS, а также рассмотрены различные типы этой атаки и защита от них. Однако хоть такие атаки легко устранить, как правило, предотвратить довольно сложно из-за высокой гибкости технической реализации. Поэтому всегда найдется такой сайт, который будет уязвим к XSS. Информация, может быть очень полезна для новых разработчиков приложений или веб-сайтов, работающих через Интернет.