Mi az a Cross-Site Scripting (XSS) és hogyan lehet megelőzni?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** egy biztonsági rés, amelyben a támadó malicious **JavaScript** kódot injektál egy weblapra, amelyet más felhasználók tekintnek meg — a böngészőjükben fut, hogy adatokat ellopjon, munkameneteket eltérítsen, vagy azok nevében cselekedjék. Ez egy gyakori, veszélyes webes biztonsági rés, amely megfelelő output kezeléssel megelőzhető. ## Hogyan működik az XSS ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` A injektált szkript az áldozatok böngészőjében fut **mintha a megbízható webhelyről származna** — lehetővé téve a támadók számára a munkamenet cookie-k/tokenek ellopását, a fiókok eltérítését, a billentyűlenyomások rögzítését, vagy a felhasználó nevében végzett műveletek végrehajtását. ## Az XSS típusai ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## Megelőzés ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## Miért fontos Az XSS megértése és megelőzésének módja elengedhetetlen, mivel ez egy **gyakori, veszélyes webes biztonsági rés**, amely lehetővé teszi a támadók számára, hogy malicious szkripteket futtassanak a felhasználók böngészőjében, így ez elengedhetetlen biztonsági tudás a webfejlesztők számára. Annak megértése, **hogy hogyan működik** — hogy a felhasználó által megadott adatok renderelése egy oldalra megfelelő escape nélkül lehetővé teszi az injektált **JavaScript futtatását más felhasználók böngészőjében a megbízható webhely kontextusában**, lehetővé téve a támadók számára a munkamenet cookie-k és tokenek ellopását, a fiókok eltérítését, és a felhasználó nevében való cselekvést — szükséges a biztonsági rés felismeréséhez és megelőzéséhez. Az XSS veszélyes, mivel kompromittálja a felhasználók munkameneteit és adatait, és gyakori a webalkalmazásokban, amelyek felhasználó által generált tartalmat jelenítnek meg. Annak megértése, hogy mik a **típusai** (stored XSS — malicious szkriptek mentve a szerveren és az összes megtekintőnek kiszolgáltatva, a legveszélyesebb; reflected XSS — szkriptek egy kérésből tükrözve; DOM-alapú XSS — kliens oldali unsave DOM manipuláció) segít a különböző támadási vektorok felismerésében. Annak megértése, hogy mik a **megelőzési módszerek** elengedhetetlen: **output escaping/encoding** (felhasználói adatok szövegként renderelése, nem HTML-ként — a kulcsfontosságú védekezés, amelyet a modern keretrendszerek, mint a React alapértelmezésben automatikusan végeznek, amikor helyesen használják), **veszélyes API-k elkerülése** (innerHTML, dangerouslySetInnerHTML, eval untrusted adatokkal — gyakori XSS-források), **HTML sanitáció**, amikor gazdag tartalmat kell engedélyezni (pl. DOMPurify), **Content Security Policy** (a szkript-végrehajtás korlátozása mélységi védekezésként), és **HttpOnly cookies** (megakadályozva, hogy a JS olvassa őket). Annak megértése, hogy a keretrendszerek automatikusan escapelnek (így a helyesen használatuk megelőzi a legtöbb XSS-t, míg az escaping megkerülése újra bevezetné azt) gyakorlatilag fontos. Mivel az XSS egy gyakori, veszélyes biztonsági rés, amely kompromittálja a felhasználók munkameneteit és adatait, különösen a felhasználó által generált tartalmat megjelenítő alkalmazásokban, és mivel annak megértése, hogy hogyan működik és hogyan lehet megelőzni (output escaping, veszélyes API-k elkerülése, CSP, keretrendszer alapértelmezések) elengedhetetlen a webfejlesztők számára, az XSS és megelőzésének megértése elengedhetetlen, must-know biztonsági tudás — egy alapvető webes biztonsági rés a védekezéshez, ahol a megfelelő output kezeléés (escaping, keretrendszer alapértelmezések használata, veszélyes API-k elkerülése) kritikus tudás a felhasználók egy széles körű támadási osztálytól való védelméhez.