Cross-Site Scripting (XSS) adalah kerentanan di mana penyerang menyuntikkan JavaScript berbahaya ke halaman web yang dilihat pengguna lain — berjalan di browser mereka untuk mencuri data, meretas sesi, atau melakukan tindakan sebagai mereka. Ini adalah kerentanan web yang umum dan berbahaya, dapat dicegah dengan penanganan output yang tepat.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Skripik yang disuntikkan berjalan di browser korban seolah-olah berasal dari situs terpercaya — memungkinkan penyerang mencuri cookie sesi/token, meretas akun, menangkap keystroke, atau melakukan tindakan sebagai pengguna.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Memahami XSS dan cara mencegahnya sangat penting karena ini adalah kerentanan web yang umum dan berbahaya yang memungkinkan penyerang menjalankan skrip berbahaya di browser pengguna, jadi ini adalah pengetahuan keamanan yang harus dikuasai oleh pengembang web.
Memahami cara kerjanya — bahwa merender input pengguna ke halaman tanpa escaping yang tepat memungkinkan JavaScript yang disuntikkan berjalan di browser pengguna lain dalam konteks situs terpercaya, memungkinkan penyerang mencuri cookie sesi dan token, meretas akun, dan bertindak sebagai pengguna — diperlukan untuk mengenali dan mencegah kerentanan.
XSS berbahaya karena mengkompromikan sesi dan data pengguna, dan ini umum di aplikasi web yang menampilkan konten buatan pengguna.
Memahami jenis-jenisnya (stored XSS — skrip berbahaya tersimpan di server dan disajikan kepada semua pemirsa, yang paling berbahaya; reflected XSS — skrip yang dipantulkan dari permintaan; DOM-based XSS — manipulasi DOM yang tidak aman di sisi klien) membantu mengenali vektor serangan yang berbeda.
Memahami pencegahannya sangat penting: escaping/encoding output (merender data pengguna sebagai teks, bukan HTML — pertahanan utama, yang dilakukan framework modern seperti React secara otomatis secara default ketika digunakan dengan benar), menghindari API berbahaya (innerHTML, dangerouslySetInnerHTML, eval dengan data yang tidak dipercaya — sumber XSS umum), sanitasi HTML ketika konten kaya harus diizinkan (misalnya DOMPurify), Content Security Policy (membatasi eksekusi skrip sebagai pertahanan berlapis), dan HttpOnly cookies (mencegah JS membacanya).
Memahami bahwa framework auto-escape (jadi menggunakannya dengan benar mencegah sebagian besar XSS, sementara melewati escaping-nya memperkenalkannya kembali) praktis penting.
Karena XSS adalah kerentanan umum dan berbahaya yang mengkompromikan sesi dan data pengguna, terutama di aplikasi yang menampilkan konten pengguna, dan karena memahami cara kerjanya dan cara mencegahnya (output escaping, menghindari API berbahaya, CSP, default framework) sangat penting bagi pengembang web, memahami XSS dan pencegahannya adalah pengetahuan keamanan yang harus dikuasai — kerentanan web fundamental untuk melindungi, di mana penanganan output yang tepat (escaping, menggunakan default framework, menghindari API berbahaya) adalah pengetahuan kritis untuk melindungi pengguna dari kelas serangan yang tersebar luas.