۳٫ حملات XSS
از جمله حملاتی که میتوان به آن اشاره داشت حملات XSS است که مخفف عبارت Cross Site Scripting می باشد، این نوع حملات، حملاتی هستند که شخص حمله کننده، در داخل محتوای سایت شما یک کد JavaScript یا لینکی از یک فایل JavaScript قرار می دهد و بدین وسیله قادر است محتویات صفحه شما را تغییر دهد، مانند Deface کردن وب سایت. برای مثال، اگر وب سایت شما قابلیتی دارد که کاربران قادر هستند بر روی مطالب Comment ارسال کنند، باید حتماً عملیات Validation بر روی محتوای ارسال شده از طرف کاربر اعمال شود و در صورت شناسایی کد JavaScript یا فایل JS حتماً از نمایش Comment جلوگیری شود. در Framework های امروزی مانند ASP.NET یا کتابخانه هایی مانند Angular روش های زیادی وجود دارد که از حملات XSS جلوگیری شود، محدودیت هایی مانند ارسال کدهای HTML به سمت سرور یا قابلیت های Encode کردن مقادیر ورودی توسط کاربر که به صورت خودکار تگ های HTML به صورت HTML Entities تبدیل می شوند و امکان اجرای کدهای مخرب وجود نخواهد داشت. روش های دیگری نیز برای جلوگیری از حملات XSS وجود دارد، مانند CSP یا Content Security Policy، در این روش از جانب Server یک Header برای مرورگر ارسال می شود و مرورگر روند اجرای کدهای جاوا اسکریپت را بر روی صفحات وب محدود می کند.
۴٫ نمایش خطاها
یکی از ایراداتی که اکثر توسعه دهندگان مرتکب می شوند، نمایش محتوای خطا در صورت وقوع آن به کاربر نهایی است. همیشه به خاطر داشته باشد که کاربر نهایی به هیچ عنوان نباید محتوای خطای ایجاد شده در سرور را مشاهده کند. بعضی وقت ها در خطای تولید شده اطلاعاتی در اختیار کاربر قرار میگیرد که باعث می شود کاربر قادر باشد به وسیله آن به وب سایت شما حمله کند. سعی کنید به جای نمایش صفحه خطای سرور، کاربر را به سمت صفحات Customize شده بر اساس نوع خطا هدایت کنید و پیام خطا و سایر اطلاعات مربوط به آن را در جایی مانند بانک اطلاعاتی نگهداری کنید یا به اصطلاح از خطاها Log بگیرید.