📖
Segurança

XSS

Cross-Site Scripting. Injeção de JavaScript malicioso em página confiável.

📚 O que é

Tipos: Stored (script salvo no DB), Reflected (via URL), DOM-based (manipulação client-side). JSX auto-escapa {}, mas dangerouslySetInnerHTML, href/src, e eval() são vetores de risco.

✅ Quando usar

Defender: sempre. Em todo input de usuário que pode ser renderizado como HTML.

🚫 Quando NÃO usar

Não é uma feature — é uma vulnerabilidade a evitar.

👍 Prós
N/A — é ameaça
👎 Contras
Roubo de cookies/tokens
Keylogging
Ações em nome do usuário
Redirecionamento malicioso
🔗 Termos relacionados
CSRF
Segurança

Cross-Site Request Forgery. Site malicioso dispara ação em seu site usando cookies do usuário.

CORS
Segurança

Cross-Origin Resource Sharing. Browser bloqueia requests cross-origin por padrão. Servidor pode liberar via headers.

CSP
Segurança

Content Security Policy. Header HTTP que restringe o que pode executar na página.

HttpOnly
Segurança

Flag de cookie que impede acesso via JavaScript. Protege contra roubo de token por XSS.

SameSite
Segurança

Flag de cookie que controla envio em requests cross-site. Principal defesa contra CSRF.