Eine sichere, moderne Webanwendung verfügt mittlerweile über unterschiedlichste Sicherheitsmechanismen. Zum einen wären da HTTP-Header wie Content-Security-Policy (CSP), X-Frame-Options und X-XSS-Protection oder auch andere, Browserbasierte Sicherheitsmechanismen wie die Same Origin Policy (SOP), die Benutzer vor clientseitigen Angriffen schützen können. Diese sind sowohl für Benutzer als auch Angreifer ersichtlich und bieten ein hohes Maß an Schutz, sofern sie korrekt konfiguriert wurden.
Zum anderen gibt es da aber auch weniger offensichtliche Schutzmechanismen, für Benutzer und Angreifer nicht auf den ersten Blick erkennbar und dennoch allgegenwärtig. Die Rede ist hierbei von Input-Filtern und Web Application Firewalls (WAFs). Gewöhnliche Input-Filter werden in der Regel auf dem Application Level eingesetzt, beispielsweise um zu überprüfen ob Nutzereingaben gefährliche Sonderzeichen enthalten. Ein Beispiel hierfür wären die beiden Sonderzeichen < und >. Diese beiden harmlos aussehenden Satzzeichen werden in HTML Code benutzt um Tags zu starten und zu beenden, wie hier zu sehen.
Zum anderen gibt es da aber auch weniger offensichtliche Schutzmechanismen, für Benutzer und Angreifer nicht auf den ersten Blick erkennbar und dennoch allgegenwärtig. Die Rede ist hierbei von Input-Filtern und Web Application Firewalls (WAFs). Gewöhnliche Input-Filter werden in der Regel auf dem Application Level eingesetzt, beispielsweise um zu überprüfen ob Nutzereingaben gefährliche Sonderzeichen enthalten. Ein Beispiel hierfür wären die beiden Sonderzeichen < und >. Diese beiden harmlos aussehenden Satzzeichen werden in HTML Code benutzt um Tags zu starten und zu beenden, wie hier zu sehen.