Cross-Site Scripting (XSS) هي ثغرة أمنية يقوم فيها المهاجم بحقن JavaScript ضار في صفحة ويب يشاهدها مستخدمون آخرون — حيث يعمل في متصفحاتهم لسرقة البيانات واختطاف الجلسات أو تنفيذ إجراءات بصفتهم. إنها ثغرة ويب شائعة وخطيرة، يمكن منعها من خلال معالجة الإخراج الصحيحة.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
ينفذ النص المحقون في متصفحات الضحايا وكأنه من الموقع الموثوق — مما يسمح للمهاجمين بسرقة ملفات تعريف الجلسات/الرموز، واختطاف الحسابات، والتقاط ضغطات لوحة المفاتيح، أو تنفيذ إجراءات بصفة المستخدم.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
فهم XSS وكيفية منعه ضروري لأنها ثغرة ويب شائعة وخطيرة تسمح للمهاجمين بتشغيل نصوص برمجية ضارة في متصفحات المستخدمين، لذلك فهي معرفة أمنية يجب أن يعرفها مطورو الويب. هم كيفية عمله — أن عرض إدخال المستخدم في صفحة دون هروب صحيح يسمح بتشغيل JavaScript المحقون في متصفحات المستخدمين الآخرين في سياق الموقع الموثوق، مما يمكّن المهاجمين من سرقة ملفات تعريف الجلسات والرموز واختطاف الحسابات والتصرف بصفة المستخدم — ضروري للتعرف على الثغرة ومنعها.
XSS خطير لأنه يهدد جلسات وبيانات المستخدمين، وهو شائع في تطبيقات الويب التي تعرض محتوى من إنشاء المستخدم.
فهم الأنواع (Stored XSS — النصوص البرمجية الضارة المحفوظة على الخادم والمقدمة لجميع المشاهدين، الأخطر؛ Reflected XSS — النصوص البرمجية المعكوسة من طلب؛ DOM-based XSS — معالجة DOM غير الآمنة من جانب العميل) يساعد على التعرف على متجهات الهجوم المختلفة.
فهم الوقاية ضروري: الهروب/الترميز للإخراج (عرض بيانات المستخدم كنص وليس HTML — الدفاع الرئيسي، الذي تقوم به أطر العمل الحديثة مثل React تلقائياً بشكل افتراضي عند استخدامها بشكل صحيح)، تجنب الواجهات البرمجية الخطيرة (innerHTML, dangerouslySetInnerHTML, eval مع البيانات غير الموثوقة — مصادر XSS الشائعة)، تطهير HTML عندما يجب السماح بمحتوى منسق (مثل DOMPurify)، Content Security Policy (تقييد تنفيذ النصوص البرمجية كدفاع إضافي)، وHttpOnly cookies (منع JavaScript من قراءتها).
فهم أن أطر العمل تهرب تلقائياً (بحيث أن استخدامها بشكل صحيح يمنع معظم XSS، بينما تجاوز الهروب الخاص بها يعيده) مهم عملياً.
نظراً لأن XSS ثغرة شائعة وخطيرة تهدد جلسات وبيانات المستخدمين، خاصة في التطبيقات التي تعرض محتوى المستخدم، ولأن فهم كيفية عملها وكيفية منعها (هروب الإخراج، تجنب الواجهات البرمجية الخطيرة، CSP، افتراضيات أطر العمل) ضروري لمطورи الويب، فإن فهم XSS ومنعه معرفة أمنية ضرورية وحتمية — ثغرة ويب أساسية للدفاع ضدها، حيث أن معالجة الإخراج الصحيحة (الهروب، استخدام افتراضيات أطر العمل، تجنب الواجهات البرمجية الخطيرة) معرفة حاسمة لحماية المستخدمين من فئة واسعة من الهجمات.