Cross-Site Scripting (XSS) एक कमज़ोरी है जहाँ एक हमलावर अन्य उपयोगकर्ताओं द्वारा देखे गए वेब पेज में दुर्भावनापूर्ण JavaScript inject करता है — डेटा चुराने, सेशन हाईजैक करने, या उनके रूप में क्रियाएँ करने के लिए उनके ब्राउज़र में चलता है। यह एक सामान्य, खतरनाक वेब कमज़ोरी है, जो उचित आउटपुट हैंडलिंग के साथ रोकी जा सकती है।
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
inject किया गया स्क्रिप्ट पीड़ितों के ब्राउज़र में जैसे कि भरोसेमंद साइट से आया हो चलता है — जिससे हमलावर सेशन कुकीज़/टोकन चुरा सकते हैं, अकाउंट हाईजैक कर सकते हैं, कीस्ट्रोक कैप्चर कर सकते हैं, या उपयोगकर्ता के रूप में क्रियाएँ कर सकते हैं।
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
XSS और इसे कैसे रोकें यह समझना आवश्यक है क्योंकि यह एक सामान्य, खतरनाक वेब कमज़ोरी है जो हमलावरों को उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट चलाने देती है, इसलिए यह वेब डेवलपर्स के लिए ज़रूर जानने योग्य सुरक्षा ज्ञान है।
यह कैसे काम करता है यह समझना — कि उचित escaping के बिना उपयोगकर्ता इनपुट को पेज में रेंडर करना inject किए गए JavaScript को भरोसेमंद साइट के संदर्भ में अन्य उपयोगकर्ताओं के ब्राउज़र में चलने देता है, जिससे हमलावर सेशन कुकीज़ और टोकन चुरा सकते हैं, अकाउंट हाईजैक कर सकते हैं, और उपयोगकर्ता के रूप में कार्य कर सकते हैं — कमज़ोरी को पहचानने और रोकने के लिए आवश्यक है।
XSS खतरनाक है क्योंकि यह उपयोगकर्ताओं के सेशन और डेटा से समझौता करता है, और यह उपयोगकर्ता-जनित सामग्री प्रदर्शित करने वाले वेब ऐप्स में सामान्य है।
प्रकारों को समझना (stored XSS — सर्वर पर सहेजे गए दुर्भावनापूर्ण स्क्रिप्ट जो सभी दर्शकों को परोसे जाते हैं, सबसे खतरनाक; reflected XSS — किसी अनुरोध से परावर्तित स्क्रिप्ट; DOM-based XSS — क्लाइंट-साइड असुरक्षित DOM हेरफेर) विभिन्न हमले के तरीकों को पहचानने में मदद करता है।
रोकथाम को समझना आवश्यक है: आउटपुट escaping/encoding (उपयोगकर्ता डेटा को HTML के बजाय टेक्स्ट के रूप में रेंडर करना — मुख्य बचाव, जिसे React जैसे आधुनिक फ़्रेमवर्क ठीक से उपयोग किए जाने पर डिफ़ॉल्ट रूप से स्वचालित रूप से करते हैं), खतरनाक APIs से बचना (innerHTML, dangerouslySetInnerHTML, अविश्वसनीय डेटा के साथ eval — सामान्य XSS स्रोत), जब रिच सामग्री की अनुमति देनी हो तो HTML sanitize करना (जैसे DOMPurify), Content Security Policy (defense-in-depth के रूप में स्क्रिप्ट निष्पादन को प्रतिबंधित करना), और HttpOnly कुकीज़ (JS को उन्हें पढ़ने से रोकना)।
यह समझना कि फ़्रेमवर्क auto-escape करते हैं (इसलिए उन्हें ठीक से उपयोग करना अधिकांश XSS को रोकता है, जबकि उनके escaping को बायपास करना इसे फिर से लाता है) व्यावहारिक रूप से महत्वपूर्ण है।
चूँकि XSS एक सामान्य, खतरनाक कमज़ोरी है जो उपयोगकर्ताओं के सेशन और डेटा से समझौता करती है, विशेष रूप से उपयोगकर्ता सामग्री प्रदर्शित करने वाले ऐप्स में, और चूँकि यह समझना कि यह कैसे काम करता है और इसे कैसे रोकें (आउटपुट escaping, खतरनाक APIs से बचना, CSP, फ़्रेमवर्क डिफ़ॉल्ट्स) वेब डेवलपर्स के लिए आवश्यक है, XSS और इसकी रोकथाम को समझना आवश्यक, ज़रूर जानने योग्य सुरक्षा ज्ञान है — बचाव करने योग्य एक मौलिक वेब कमज़ोरी, जहाँ उचित आउटपुट हैंडलिंग (escaping, फ़्रेमवर्क डिफ़ॉल्ट्स का उपयोग, खतरनाक APIs से बचना) उपयोगकर्ताओं को हमलों के व्यापक वर्ग से बचाने के लिए महत्वपूर्ण ज्ञान है।