Cross-Site Scripting (XSS) je ranjivost u kojoj napadač injektira zlonamjernog JavaScripta u web stranicu koju pregledavaju ostali korisnici — izvršava se u njihovim preglednicima kako bi ukrao podatke, preuzeo sesije ili obavio radnje u njihovo ime. To je česta, opasna web ranjivost koja se može spriječiti pravilnim rukavanjem izlaza.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Injektirani skript se izvršava u žrtvinim preglednicima kao da dolazi s pouzdane stranice — omogućavajući napadačima da kradu kolačiće sesija/tokene, preuzmu račune, prate udarce tipki ili obavljaju radnje kao korisnik.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Razumijevanje XSS-a i kako ga spriječiti je od ključne važnosti jer je to česta, opasna web ranjivost koja omogućava napadačima da izvršavaju zlonamjerne skripte u preglednicima korisnika, pa je to nužno znanje o sigurnosti za web programere.
Razumijevanje kako funkcionira — da renderiranje korisničkog unosa u stranicu bez pravilnog escape znakova omogućava da se injektirani JavaScript izvršava u preglednicima ostalih korisnika u kontekstu pouzdane stranice, omogućavajući napadačima da kradu kolačiće sesija i tokene, preuzmu račune i djeluju kao korisnik — nužno je za prepoznavanje i sprječavanje ranjivosti.
XSS je opasan jer ugrožava korisnike sesija i podatke, i čest je u web aplikacijama koje prikazuju korisničkoj generirani sadržaj.
Razumijevanje vrsta (pohranjena XSS — zlonamjerni skripti pohranjeni na serveru i posluženi svim gledateljima, najopasnije; reflektirana XSS — skripti reflektirani iz zahtjeva; DOM-bazirana XSS — nesigurna manipulacija DOM-a na strani klijenta) pomaže prepoznati različite vektore napada.
Razumijevanje prevencije je bitno: escape/kodiranje izlaza (renderiranje korisničkih podataka kao teksta, ne HTML-a — ključna obrana, koju moderne okvire poput React-a automatski rade prema zadanom postavljanju kada se koriste pravilno), izbjegavanje opasnih API-ja (innerHTML, dangerouslySetInnerHTML, eval s nepouzdanim podacima — česti izvori XSS-a), sanitiziranje HTML-a kada je bogati sadržaj dopušten (npr. DOMPurify), Content Security Policy (ograničavanje izvršavanja skripti kao obrana u dubini), i HttpOnly kolačići (sprječavanje čitanja JS-a).
Razumijevanje da okviri automatski escape znakove (zato korištenje njihovog escape znakova sprječava većinu XSS-a, dok zaobilaženje escape znakova ponovno ga uvodi) je praktički važno.
Budući da je XSS česta, opasna ranjivost koja ugrožava korisnike sesija i podataka, posebno u aplikacijama koje prikazuju korisničku sadržaj, i budući da je razumijevanje kako funkcionira i kako ga spriječiti (escape izlaza, izbjegavanje opasnih API-ja, CSP, zadane postavke okvira) bitno za web programere, razumijevanje XSS-a i njegove prevencije je bitno, nužno znanje o sigurnosti — fundamentalna web ranjivost koju treba braniti, gdje je pravilno rukavanje izlaza (escape znakovi, korištenje zadanih postavki okvira, izbjegavanje opasnih API-ja) kritično znanje za zaštitu korisnika od široke klase napada.