Добро пожаловать

Если в данном материале вы встретите какие либо ошибки - обязательно сообщите мне и помогите дополнить материал, вместе мы сделаем его лучше! tg: @wr3dmast3rvs

В будущем я собираюсь дополнять этот материал, как минимум, лабораторными или полностью переработаю некоторые части исходного ресерча.

В этой серии будут рассмотрены следующие темы:

XSS (Cross-Site Scripting)
CSP (Content Security Policy)
Sanitization
HTML injection
CSS injection
DOM clobbering
Prototype pollution
CSRF (Cross-site request forgery)
CORS (Cross-origin resource sharing)
Cookie tossing
Cookie bomb
Clickjacking
MIME sniffing
XSLeaks (Cross-site leaks)
CSTI (Client-side template injection)
Subdomain takeover
Dangling markup injection
Supply chain attack

Этот цикл статей можно условно разделить на следующие пять глав:

Глава 1: Начало работы с XSS 
Глава 2: Защита и обход XSS 
Глава 3: Атаки без JavaScript 
Глава 4: Межсайтовые атаки 
Глава 5: Другие интересные темы

Целевая аудитория этой серии включает в себя инженеров front-end и людей, интересующихся безопасностью. Предполагается, что читатели обладают хотя бы базовыми техническими знаниями, например, понимают разницу между front-end и back-end и имеют базовое представление о HTML, CSS и JavaScript.

В мире безопасности знания имеют решающее значение. Есть вещи, о которых вы не знаете, что вы не знаете. При разработке вы можете неосознанно создать уязвимость безопасности, не зная, что определенный способ написания кода является проблемой. Я надеюсь, что благодаря этой серии статей вы сможете почерпнуть для себя новые знания. Если это зажжет ваш интерес к безопасности front-end, это будет замечательно. Но даже если нет, я надеюсь, что она хотя бы покажет вам другой аспект front-end разработки и заставит вас почувствовать то, что почувствовал я, когда впервые столкнулся с безопасностью - простыми словами, «Вау, как я раньше не знал об этих вещах?».

Данный материал это мой личный перевод и доработка оригинального материала.