Zestawy rozmówBlog

Twoja wymarzona praca? Lets Git IT.
Interaktywna platforma przygotowująca do rozmów technicznych dla nowoczesnych programistów.

XGitHub

Platforma

  • Kategorie

Zasoby

  • Blog
  • O aplikacji
  • FAQ
  • Sugestie

Prawne

  • Polityka prywatności
  • Regulamin

© 2026 LetsGit.IT. Wszelkie prawa zastrzeżone.

LetsGit.IT/Kategorie/Bezpieczeństwo
Bezpieczeństwomedium

Wyjaśnij XSS, CSRF i SSRF oraz podaj po jednej mitigacji.

Tagi
#xss#csrf#ssrf#web-security
Wróć do kategoriiPrzejdź do quizu

Odpowiedź

XSS wstrzykuje skrypty do strony; mitigacja to encoding wyjścia i CSP. CSRF podsyła zaufane żądanie z przeglądarki; mitigacja to tokeny CSRF i cookies SameSite. SSRF zmusza serwer do żądań do zasobów wewnętrznych; mitigacja to allowlisty i kontrola egressu.

Odpowiedź zaawansowana

Głębiej

  • XSS: atakujący wykonuje skrypty w kontekście użytkownika (stored, reflected, DOM).
  • CSRF: przeglądarka ofiary wysyła zaufane żądanie.
  • SSRF: serwer zostaje zmuszony do żądań do zasobów wewnętrznych lub metadata.

Kluczowe mitigacje:

  • XSS: encoding wyjścia, CSP, unikanie unsafe HTML, cookies HttpOnly.
  • CSRF: SameSite + tokeny CSRF dla żądań zmieniających stan.
  • SSRF: ścisłe allowlisty, blokada wewnętrznych IP, walidacja DNS i IP po resolve.

Przykłady

Minimalny nagłówek CSP:

Content-Security-Policy: default-src 'self'; script-src 'self'

Typowe pułapki

  • Sanityzacja wejścia bez kodowania wyjścia.
  • Poleganie tylko na Referer dla CSRF.
  • Allowlista hostów bez sprawdzania IP (DNS rebinding).

Pytania uzupełniające na rozmowie

  • Kiedy CSRF jest możliwy mimo SameSite=Lax?
  • Jak zabezpieczyć pobieranie obrazów przed SSRF?
  • Czym jest DOM-based XSS i czemu jest trudny?