Навыки frontend-mobile-security-xss-scan
🛡️

frontend-mobile-security-xss-scan

Безопасно ⚡ Содержит скрипты📁 Доступ к файловой системе

Сканирование фронтенд-кода на уязвимости XSS

Этот навык помогает разработчикам выявлять уязвимости межсайтового скриптинга (XSS) в коде React, Vue, Angular и чистом JavaScript, предоставляя практические исправления и шаблоны безопасного кодирования.

Поддерживает: Claude Codex Code(CC)
📊 71 Адекватно
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «frontend-mobile-security-xss-scan». Просканируйте этот код на XSS: element.innerHTML = userInput;

Ожидаемый результат:

## Обнаружена уязвимость XSS

**Уровень серьезности:** Критический
**Тип:** Небезопасная манипуляция HTML
**Расположение:** Строка 1
**CWE:** CWE-79

**Описание:** Назначение пользовательских данных на innerHTML создает риск XSS.

**Исправление:** Используйте element.textContent для простого текста или выполните санитизацию с помощью DOMPurify:
```javascript
import DOMPurify from 'dompurify';
element.innerHTML = DOMPurify.sanitize(userInput);
```

Использование «frontend-mobile-security-xss-scan». Проверьте этот код React: <div dangerouslySetInnerHTML={{__html: content}} />

Ожидаемый результат:

## Обнаружен риск XSS в React

**Уровень серьезности:** Высокий
**Тип:** Небезопасный рендеринг HTML в React
**Расположение:** Компонент

**Проблема:** dangerouslySetInnerHTML используется без санитизации.

**Исправление:** Выполните санитизацию перед рендерингом:
```javascript
import DOMPurify from 'dompurify';
<div dangerouslySetInnerHTML={{__html: DOMPurify.sanitize(content)}} />
```

Использование «frontend-mobile-security-xss-scan». Найдите проблемы XSS в: <a href={userUrl}>Link</a>

Ожидаемый результат:

## Обнаружен риск инъекции URL

**Уровень серьезности:** Высокий
**Тип:** Инъекция URL

**Проблема:** Пользовательский URL в атрибуте href без проверки.

**Исправление:** Проверьте и выполните санитизацию URL:
```javascript
const safeUrl = url.startsWith('http://') || url.startsWith('https://')
? url
: '#';
```

Аудит безопасности

Безопасно
v1 • 2/25/2026

This is a legitimate defensive security skill for XSS vulnerability detection. The static analyzer flagged patterns are educational examples of vulnerable code that the skill teaches users how to detect. These patterns include innerHTML usage, fs.readFile for scanning files, and security best practices - all defensive security content, not malicious code. The skill provides guidance on identifying and fixing XSS vulnerabilities in frontend codebases.

1
Просканировано файлов
325
Проанализировано строк
4
находки
1
Всего аудитов
Проблемы среднего риска (1)
SKILL.md:50-51SKILL.md:82-92SKILL.md:163-177
Educational Code Patterns
The skill contains examples of vulnerable code patterns (innerHTML, dangerouslySetInnerHTML, location.href) to teach detection. These are educational examples for vulnerability scanning, not actual vulnerabilities.
Проблемы низкого риска (1)
SKILL.md:59
Filesystem Access for Scanning
Uses fs.readFile to read source files for security scanning. This is legitimate for a vulnerability scanner tool.

Факторы риска

⚡ Содержит скрипты (1)
SKILL.md:214
📁 Доступ к файловой системе (1)
SKILL.md:59
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
32
Сообщество
98
Безопасность
91
Соответствие спецификации

Что вы можете построить

Аудит безопасности веб-приложения

Сканирование кодовой базы React или Vue перед выпуском в продакшн для выявления и исправления уязвимостей XSS.

Интеграция безопасности в CI/CD

Интеграция сканирования XSS в конвейеры сборки для обнаружения уязвимостей до развертывания.

Помощник в проверке безопасного кода

Использование в качестве помощника по кодированию для проверки изменений кода на наличие проблем безопасности во время разработки.

Попробуйте эти промпты

Базовое сканирование XSS 
Просканируйте этот JavaScript-код на наличие уязвимостей XSS:

```
[ВСТАВЬТЕ КОД СЮДА]
```

Определите любое использование innerHTML, вызовы document.write или рендеринг непроверенного пользовательского ввода.
Проверка безопасности компонента React 
Проверьте этот компонент React на наличие уязвимостей XSS:

```
[ВСТАВЬТЕ КОД REACT СЮДА]
```

Проверьте использование dangerouslySetInnerHTML, инъекцию обработчиков событий и обработку данных на основе props.
Полный отчет по безопасности 
Выполните комплексный аудит безопасности XSS для следующей кодовой базы. Включите уровни серьезности, ссылки на CWE и рекомендуемые исправления:

```
[ВСТАВЬТЕ КОД СЮДА]
```
Рекомендации по безопасному кодированию 
Какие существуют безопасные альтернативы этому потенциально уязвимому шаблону кода?

```
[ВСТАВЬТЕ УЯЗВИМЫЙ КОД]
```

Предоставьте конкретные исправления с использованием DOMPurify или безопасных методов фреймворка.

Лучшие практики

  • Всегда выполняйте санитизацию пользовательского ввода перед рендерингом HTML с помощью DOMPurify или аналогичных библиотек
  • Предпочитайте textContent вместо innerHTML для рендеринга простого текстового контента
  • Проверяйте и добавляйте в белый список протоколы URL (http, https) перед назначением на href или location

Избегать

  • Использование innerHTML с прямым пользовательским вводом без санитизации
  • Использование dangerouslySetInnerHTML без санитизации DOMPurify
  • Назначение пользовательских URL на location.href без проверки

Часто задаваемые вопросы

Что такое XSS?
Межсайтовый скриптинг (XSS) — это уязвимость, которая позволяет злоумышленникам внедрять вредоносные скрипты в веб-страницы, просматриваемые другими пользователями.
Работает ли этот навык с TypeScript?
Да, навык анализирует код TypeScript и выявляет те же шаблоны уязвимостей, что и в JavaScript.
Может ли это сканировать приложения Vue?
Да, навык включает обнаружение уязвимостей, специфичных для Vue, таких как неправильное использование директивы v-html.
Какие уровни серьезности используются?
Результаты классифицируются как Критические, Высокие, Средние или Низкие на основе возможности эксплуатации и потенциального воздействия.
Предоставляет ли он исправления для уязвимостей?
Да, каждое обнаружение включает конкретные рекомендации по исправлению с примерами кода, использующими безопасные альтернативы.
Может ли это заменить ручные проверки безопасности?
Этот навык является полезным помощником, но должен дополнять, а не заменять комплексные аудиты безопасности и тестирование на проникновение.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/frontend-mobile-security-xss-scan

Ссылка

main

Структура файлов

📄 SKILL.md