CSTI (Client-Side Template Injection) в Angular/Vue/React: От XSS до полного контроля

Client-Side Template Injection (CSTI) – это уязвимость, которая возникает когда пользовательские данные попадают в шаблоны JavaScript-фреймворков без должной санитизации. В отличие от классического Server-Side Template Injection (SSTI), CSTI выполняется в браузере жертвы и часто позволяет обойти CSP, украсть токены или выполнить произвольный JavaScript.

Почему это опасно в 2026

Современные SPA (Single Page Applications) используют реактивные фреймворки, где граница между данными и кодом размыта. Один неправильно обработанный input может превратиться в полноценный RCE в контексте браузера, с доступом к localStorage, cookies и DOM.

Angular: Template Expressions как точка входа

Angular использует двойные фигурные скобки {{}} для интерполяции данных. Если в шаблон попадает непроверенный пользовательский ввод, атакующий может выполнить произвольные выражения.

Уязвимый код Angular

Эксплойт для Angular

Автоматизация проверки Angular CSTI

Vue.js: v-html и компиляция шаблонов

Vue.js более безопасен по умолчанию, но директива v-html и динамическая компиляция шаблонов могут стать проблемой.

Уязвимый код Vue.js

Эксплойт для Vue.js

Python-скрипт для поиска Vue.js CSTI

React: dangerouslySetInnerHTML и JSX Injection

React защищён от XSS по умолчанию, но есть опасные паттерны.

Уязвимый код React

Эксплойт для React

Автоматизированный сканер для React

Bypass CSP через Shadow DOM

Современные приложения используют Content Security Policy для защиты от XSS. Но Shadow DOM может стать точкой обхода.

Универсальный Burp Extension для CSTI

Защита: как закрыть уязвимости

Angular

Vue.js

React

CSTI – это мощный вектор атаки в 2026 году, особенно в SPA-приложениях. Комбинация пользовательского ввода и реактивных шаблонов создаёт идеальные условия для эксплуатации. Тестируй, автоматизируй, взламывай – и не забывай про defense! 🔥