Что такое XSS-атака и как от неё защититься?

XSS (Cross-Site Scripting) – это уязвимость, при которой злоумышленник внедряет в веб-страницу вредоносный JavaScript-код, который затем выполняется у других пользователей. Например, если сайт выводит без фильтрации пользовательский ввод, атакующий может вставить `<script>...</script>` – и этот скрипт будет выполнен у всех, кто откроет страницу. Последствия XSS – кража cookie, токенов, выполнение действий от имени пользователя. Защита от XSS: тщательно экранировать/фильтровать выводимые данные (спецсимволы HTML заменять на безопасные последовательности), использовать Content Security Policy (CSP), избегать `eval` и небезопасных конструкций. Если нужно вставлять HTML от пользователя – применять безопасные библиотеки для санитизации.