Cross-Site Scripting (XSS) je zranitelnost, kdy útočník injektuje zlomyslný JavaScript do webové stránky, kterou si prohlížejí ostatní uživatelé — spouští se v jejich prohlížečích a krade data, přejímá relace nebo provádí akce za ně. Jde o běžnou, nebezpečnou webovou zranitelnost, kterou lze předejít správným zacházením s výstupem.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Injektovaný skript se spouští v prohlížečích obětí jako by pocházel z důvěryhodné stránky — útočníci tak mohou krást session cookies/tokeny, přejímat účty, zachycovat stisky kláves nebo provádět akce za uživatele.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Rozvědomit se v XSS a jak mu předcházet, je nezbytné, protože jde o běžnou, nebezpečnou webovou zranitelnost, která útočníkům umožňuje spouštět zlomyslné skripty v prohlížečích uživatelů, a je to tedy nezbytné znalost bezpečnosti pro webové vývojáře.
Rozvědomit se v jak to funguje — že vykreslení uživatelského vstupu na stránku bez patřičného escapování umožňuje injektovanému JavaScriptu spustit se v prohlížečích ostatních uživatelů v kontextu důvěryhodné stránky, a umožňuje útočníkům krást session cookies a tokeny, přejímat účty a jednat za uživatele — je nezbytné pro rozpoznání a prevenci zranitelnosti.
XSS je nebezpečné, protože ohrožuje relace a data uživatelů, a je běžné ve webových aplikacích, které zobrazují obsah generovaný uživateli.
Rozvědomit se v typy (Stored XSS — zlomyslné skripty uložené na serveru a podávané všem prohlížejícím, nejnebezpečnější; Reflected XSS — skripty odrážené z požadavku; DOM-based XSS — nebezpečná manipulace s DOM na straně klienta) pomáhá rozpoznat různé vektory útoku.
Rozvědomit se v prevenci je nezbytné: escapování/enkódování výstupu (vykreslení uživatelských dat jako text, ne HTML — klíčová obrana, kterou moderní frameworky jako React provádějí automaticky ve výchozím nastavení, když se používají správně), vyhýbání se nebezpečným API (innerHTML, dangerouslySetInnerHTML, eval s nedůvěryhodných dat — běžné zdroje XSS), sanitace HTML když musí být povolen bohatý obsah (např. DOMPurify), Content Security Policy (omezování spouštění skriptů jako obrana do hloubky), a HttpOnly cookies (zabránění tomu, aby je JavaScript mohl číst).
Rozvědomit si, že frameworky automaticky escapují (takže jejich správné použití zabraňuje většině XSS, zatímco obcházení jejich escapování jej znovu zavádí) je prakticky důležité.
Protože XSS je běžná, nebezpečná zranitelnost ohrožující relace a data uživatelů, zejména v aplikacích zobrazujících obsah uživatelů, a protože porozumění jak funguje a jak mu předcházet (escapování výstupu, vyhýbání se nebezpečným API, CSP, výchozí nastavení frameworku) je nezbytné pro webové vývojáře, je porozumění XSS a jeho prevenci nezbytné, nezbytné znalosti v bezpečnosti — základní webová zranitelnost, kterou je třeba bránit, kde je správné zacházení s výstupem (escapování, použití výchozího nastavení frameworku, vyhýbání se nebezpečným API) kritickým vědomím pro ochranu uživatelů před rozšířenou třídou útoků.