Wyjaśnij XSS, CSRF i SSRF oraz podaj po jednej mitigacji.

Głębiej

• XSS: atakujący wykonuje skrypty w kontekście użytkownika (stored, reflected, DOM).
• CSRF: przeglądarka ofiary wysyła zaufane żądanie.
• SSRF: serwer zostaje zmuszony do żądań do zasobów wewnętrznych lub metadata.

Kluczowe mitigacje:

• XSS: encoding wyjścia, CSP, unikanie unsafe HTML, cookies HttpOnly.
• CSRF: SameSite + tokeny CSRF dla żądań zmieniających stan.
• SSRF: ścisłe allowlisty, blokada wewnętrznych IP, walidacja DNS i IP po resolve.

Przykłady

Minimalny nagłówek CSP:

Content-Security-Policy: default-src 'self'; script-src 'self'

Typowe pułapki

• Sanityzacja wejścia bez kodowania wyjścia.
• Poleganie tylko na Referer dla CSRF.
• Allowlista hostów bez sprawdzania IP (DNS rebinding).

Pytania uzupełniające na rozmowie

• Kiedy CSRF jest możliwy mimo SameSite=Lax?
• Jak zabezpieczyć pobieranie obrazów przed SSRF?
• Czym jest DOM-based XSS i czemu jest trudny?