Cross-Site Scripting (XSS) একটি দুর্বলতা যেখানে একজন আক্রমণকারী অন্যান্য ব্যবহারকারীদের দ্বারা দেখা একটি ওয়েব পৃষ্ঠায় ক্ষতিকারক JavaScript ইনজেক্ট করে — তাদের ব্রাউজারে চালিত হয় ডেটা চুরি করতে, সেশন হাইজ্যাক করতে বা তাদের হয়ে পদক্ষেপ নিতে। এটি একটি সাধারণ, বিপজ্জনক ওয়েব দুর্বলতা যা সঠিক আউটপুট হ্যান্ডলিং দিয়ে প্রতিরোধযোগ্য।
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
ইনজেক্ট করা স্ক্রিপ্ট শিকারদের ব্রাউজারে চলে বিশ্বস্ত সাইট থেকে যেন হয়েছে — আক্রমণকারীদের সেশন কুকি/টোকেন চুরি করতে, অ্যাকাউন্ট হাইজ্যাক করতে, কীস্ট্রোক ক্যাপচার করতে বা ব্যবহারকারী হিসেবে পদক্ষেপ নিতে দেয়।
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
XSS বোঝা এবং এটি প্রতিরোধ করা অপরিহার্য কারণ এটি একটি সাধারণ, বিপজ্জনক ওয়েব দুর্বলতা যা আক্রমণকারীদের ব্যবহারকারীদের ব্রাউজারে ক্ষতিকারক স্ক্রিপ্ট চালাতে দেয়, তাই এটি ওয়েব ডেভেলপারদের জন্য অবশ্যই জানা নিরাপত্তা জ্ঞান।
এটি কীভাবে কাজ করে তা বোঝা — যে একটি পৃষ্ঠায় সঠিক এস্কেপিং ছাড়াই ব্যবহারকারীর ইনপুট রেন্ডার করা অন্যান্য ব্যবহারকারীদের ব্রাউজারে বিশ্বস্ত সাইটের প্রসঙ্গে ইনজেক্ট করা JavaScript চালায়, আক্রমণকারীদের সেশন কুকি এবং টোকেন চুরি করতে, অ্যাকাউন্ট হাইজ্যাক করতে এবং ব্যবহারকারী হিসেবে কাজ করতে সক্ষম করে — দুর্বলতা চিনতে এবং প্রতিরোধ করতে প্রয়োজনীয়।
XSS বিপজ্জনক কারণ এটি ব্যবহারকারীদের সেশন এবং ডেটা আপস করে, এবং এটি ব্যবহারকারী-উৎপন্ন সামগ্রী প্রদর্শনকারী ওয়েব অ্যাপ্লিকেশনে সাধারণ।
প্রকারগুলি বোঝা (স্টোরড XSS — ক্ষতিকারক স্ক্রিপ্ট সার্ভারে সংরক্ষিত এবং সকল দর্শকদের কাছে পরিবেশিত, সবচেয়ে বিপজ্জনক; রিফ্লেক্টেড XSS — অনুরোধ থেকে প্রতিফলিত স্ক্রিপ্ট; DOM-ভিত্তিক XSS — ক্লায়েন্ট-সাইড অনিরাপদ DOM হেরফের) বিভিন্ন আক্রমণ ভেক্টর চিনতে সাহায্য করে।
প্রতিরোধ বোঝা অপরিহার্য: এস্কেপিং/এনকোডিং আউটপুট (ব্যবহারকারীর ডেটা টেক্সট হিসেবে রেন্ডার করা, HTML নয় — মূল প্রতিরক্ষা, যা React এর মতো আধুনিক ফ্রেমওয়ার্ক সঠিকভাবে ব্যবহার করলে স্বয়ংক্রিয়ভাবে করে), বিপজ্জনক API এড়ানো (innerHTML, dangerouslySetInnerHTML, বিশ্বাসযোগ্য নয় এমন ডেটা সহ eval — সাধারণ XSS উৎস), HTML স্যানিটাইজিং যখন সমৃদ্ধ সামগ্রী অনুমোদিত হতে হবে (যেমন DOMPurify), Content Security Policy (প্রতিরক্ষা-গভীরতা হিসেবে স্ক্রিপ্ট এক্সিকিউশন সীমাবদ্ধ করা), এবং HttpOnly কুকি (JS দ্বারা সেগুলি পড়া থেকে প্রতিরোধ করা)।
ফ্রেমওয়ার্ক স্বয়ংক্রিয়-এস্কেপ করে (তাই সেগুলি সঠিকভাবে ব্যবহার করলে বেশিরভাগ XSS প্রতিরোধ হয়, তাদের এস্কেপিং বাইপাস করলে এটি পুনরায় চালু হয়) বোঝা ব্যবহারিকভাবে গুরুত্বপূর্ণ।
যেহেতু XSS একটি সাধারণ, বিপজ্জনক দুর্বলতা যা ব্যবহারকারীদের সেশন এবং ডেটা আপস করে, বিশেষত ব্যবহারকারী সামগ্রী প্রদর্শনকারী অ্যাপ্লিকেশনে, এবং যেহেতু এটি কীভাবে কাজ করে এবং এটি কীভাবে প্রতিরোধ করতে হয় তা বোঝা (আউটপুট এস্কেপিং, বিপজ্জনক API এড়ানো, CSP, ফ্রেমওয়ার্ক ডিফল্ট) ওয়েব ডেভেলপারদের জন্য অপরিহার্য, XSS এবং এর প্রতিরোধ বোঝা অপরিহার্য, অবশ্যই জানা নিরাপত্তা জ্ঞান — একটি মৌলিক ওয়েব দুর্বলতা যার বিরুদ্ধে রক্ষা করতে হবে, যেখানে সঠিক আউটপুট হ্যান্ডলিং (এস্কেপিং, ফ্রেমওয়ার্ক ডিফল্ট ব্যবহার, বিপজ্জনক API এড়ানো) ব্যাপক আক্রমণের একটি শ্রেণী থেকে ব্যবহারকারীদের রক্ষা করার জন্য গুরুত্বপূর্ণ জ্ঞান।