XSS Saldırılarından Nasıl Korunabiliriz?

Kullanıcıdan alınan veriler, XSS için tehlikeli olan işaretleri html encode olarak çeviren htmlspecialchars fonksiyonuna alınabilir. Burada tüm karakterler encode edilmez, tüm kodları encode etmek daha güvenlidir. Bunun için htmlentities kullanılır. Kullanıcıdan alınan veri asla script içine alınmamalıdır. Mutlaka input validation yapılmalıdır.

White list

izin verilen karakter, kelime ya da sayıları belirleyerek bunlara izin verilmesine ve geride kalan hiçbir şeyi kabul etmeme yaklaşımına white list denir.

Black list

İzin verilmeyecekleri belirleyip geri kalan her şeyi girdi olarak kabul etmek black list yapmaktır.

Bu şekilde bir yaklaşımla kontrol yapamadığımız girdiler olabilir. Telefon numaralarını düşünelim yada e posta girdi formatlarını. Bunun gibi girdilere belli bir biçimde izin verilmesi gerekiyor. Bunu RegEx kuralları belirleyerek yapabiliriz.
Bunun için https://regex101.com/ sitesine göz atabilirsiniz.