რა არის Cross-Site Scripting (XSS) და როგორ ხდება მისი პრევენცია?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** არის დაუცველობა, როდესაც თავდამსხმელი ჩაყრის ბოროტად განზრახული **JavaScript**-ს ვებ-გვერდზე, რომელსაც იყურებიან სხვა მომხმარებლები — მუშაობს მათი ბრაუზერებში მონაცემების ქურდობის, სესიების ჩამორთმევის ან მათი სახელით მოქმედებების შესასრულებლად. ეს ხშირი, საშიში ვებ-დაუცველობაა, რომელიც ასე თავიდან აიცილება სწორი გამომავალი დამუშავებით. ## როგორ მუშაობს XSS ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` ჩასმული სკრიპტი გაუშვება მსხვერპლების ბრაუზერებში **თითქოს სანდო საიტიდან** — დაშვებს თავდამსხმელებს ქურდობდეს სესიის ფუნთუშებს/ტოკენებს, ჩამორთმევდეს ანგარიშებს, აკვებდეს კლავიატურის დარტყმებს, ან შეასრულებდეს მოქმედებებს მომხმარებლის სახელით. ## XSS-ის ტიპები ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## პრევენცია ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## რატომ აქვს ეს მნიშვნელობა XSS-ის გაგება და მისი პრევენცია აუცილებელია, რადგან ეს არის **ხშირი, საშიში ვებ-დაუცველობა**, რომელიც თავდამსხმელებს საშუალებას აძლევს ბოროტად განზრახული სკრიპტები გაუშვან მომხმარებლების ბრაუზერებში, ამიტომ ეს აუცილებელი უსაფრთხოების ცოდნაა ვებ-დეველოპერებისთვის. **როგორ მუშაობს** გაგება — რომ მომხმარებლის შეყვანის გამოტანა გვერდზე სათანადო გამოკვეთის გარეშე თავმოყრილი **JavaScript**-ის გაშვებას სხვა მომხმარებლების ბრაუზერებში სანდო საიტის კონტექსტში, რაც თავდამსხმელებს აძლევს სესიის ფუნთუშების და ტოკენების ქურდობას, ანგარიშების ჩამორთმევას და მომხმარებლის სახელით მოქმედებას — აუცილებელია დაუცველობის ცოდნა და პრევენცია. XSS საშიშია, რადგან ის ხდის კომპრომისს მომხმარებლების სესიებზე და მონაცემებზე, და ხშირია ვებ-აპლიკაციებში, რომლებიც ასახელებენ მომხმარებელთა მიერ გენერირებულ კონტენტს. **ტიპების** გაგება (შენახული XSS — ბოროტად განზრახული სკრიპტები, რომლებიც შენახულია სერვერზე და ყველა მნახველს ჩანს, ყველაზე საშიში; რეფლექტირებული XSS — სკრიპტები, რომელიც რეფლექტირებული არის მოთხოვნიდან; DOM-ზე დაფუძნებული XSS — კლიენტის მხრიდან არასწორი DOM ბეჭდვა) ეხმარება სხვადსხვა თავდასხმის ვექტორების ცოდნას. **პრევენციის** გაგება აუცილებელია: **გამოკვეთა/კოდირება გამომავალი** (მომხმარებელთა მონაცემების ტექსტად რენდერინგი, ვერა HTML — ძირითადი თავდაცვა, რომელსაც თანამედროვე ჩარჩოები როგორიცაა React ავტომატურად აკეთებენ სწორი გამოყენებისას), **საშიში API-ების თავიდან აცილება** (innerHTML, dangerouslySetInnerHTML, eval სანდო არეშე მონაცემებთან — ხშირი XSS წყაროები), **HTML-ის დამტკიცება**, როდესაც მდიდარი კონტენტი უნდა იყოს დაშვებული (მაგ. DOMPurify), **Content Security Policy** (სკრიპტის შესრულების შეზღუდვა როგორც თავდაცვა-სიღრმეში), და **HttpOnly ფუნთუშები** (JS-დან მათი კითხვის ხელი). გაგება, რომ ჩარჩოები ავტომატურად კოდიანი (ამრიგად მათი სწორი გამოყენება ხელს უშლის უმეტეს XSS-ს, მაშინ როდესაც მათი კოდირების გვერდის ავლა მას ხელახლა შემოაქვს) პრაქტიკულად მნიშვნელოვანია. მას შემდეგ, რაც XSS არის ხშირი, საშიში დაუცველობა, რომელიც ხდის კომპრომისს მომხმარებლების სესიებზე და მონაცემებზე, განსაკუთრებით აპლიკაციებში, რომლებიც ასახელებენ მომხმარებელთა კონტენტს, და მას შემდეგ, რაც გაგება, თუ როგორ მუშაობს ის და როგორ ხდება მისი პრევენცია (გამომავალი გამოკვეთა, საშიში API-ების თავიდან აცილება, CSP, ჩარჩოს დიფოლტები) აუცილებელია ვებ-დეველოპერებისთვის, XSS-ის და მისი პრევენციის გაგება აუცილებელი, აუცილებელი უსაფრთხოების ცოდნაა — ფუნდამენტური ვებ-დაუცველობა, რომლის წინააღმდეგ უნდა იბრძოლო, სადაც სწორი გამომავალი დამუშავება (გამოკვეთა, ჩარჩოს დიფოლტების გამოყენება, საშიში API-ების თავიდან აცილება) კრიტიკული ცოდნაა მომხმარებლების დასაცავად ხშირი კლასის თავდასხმებისგან.