Cross-Site Scripting (XSS) yra pažeidžiamumas, kuriame atakuotojas injektuoja nuodingą JavaScript į tinklalapį, peržiūrimą kitų naudotojų — jis veikia jų naršyklėse, kad pavogtu duomenis, perima seansus arba atlieka veiksmus jų vardu. Tai dažnas, pavojingas tinklo pažeidžiamumas, kurio galima išvengti tinkamu išvesties tvarkymu.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Injektuotasis scenarijus veikia aukų naršyklėse tarsi būtų iš patikimos svetainės — leidžiami atakuotojams pavogti sesijos slapukus/žetonus, perimti paskyras, gauti klaviatūros įvestį arba atlikti veiksmus kaip naudotojas.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Supratimas apie XSS ir kaip jį užkirsti kelią yra esminis, nes tai dažnas, pavojingas tinklo pažeidžiamumas, kuris leidžia atakuotojams paleisti nuodingus scenarijus naudotojų naršyklėse, todėl tai turi būti žinios apie saugumą žinančiam žiniai reikalingoms žinios tinklo kūrėjams.
Supratimas apie kaip jis veikia — kad neperteiktas naudotojo įvesties išvaizdos į puslapį be tinkamo escapinimo leidžia injektuotam JavaScript paleisti kitų naudotojų naršyklėse patikimos svetainės kontekste, leidžiant atakuotojams pavogti sesijos slapukus ir žetonus, perimti paskyras ir veikti kaip naudotojas — yra reikalingas siekiant atpažinti ir užkirsti kelią pažeidžiamumui.
XSS yra pavojingas, nes jis gresia naudotojų seansais ir duomenimis, ir jis yra dažnas tinklo programose, kurios rodys naudotojo sugeneruotą turinį.
Supratimas apie tipus (saugomas XSS — nudingi scenarijai, išsaugoti serveryje ir parodyti visiems žiūrovams, pats pavogingiausias; atspindimas XSS — scenarijai atspindimi iš prašymo; DOM pagrindu XSS — kliento pusės nesaugus DOM manipuliavimas) padeda atpažinti skirtingus atakos vektorius.
Supratimas apie prevenciją yra esminis: išvesties escaping/kodavimas (naudotojo duomenų perteikimas kaip tekstas, ne HTML — pagrindinė gynyba, kurią automatiškai atlieka šiuolaikinės sistemos, tokios kaip React, pagal numatytuosius nustatymus, kai jos naudojamos tinkamai), pavojingų API išvengimas (innerHTML, dangerouslySetInnerHTML, eval su nepatikimais duomenimis — dažni XSS šaltiniai), HTML sanitizavimas, kai turtingas turinys turi būti leistas (pvz., DOMPurify), Content Security Policy (skripto vykdymo apribojimas kaip gluminimas gynyba), ir HttpOnly slapukai (neleidžiant JS juos skaityti).
Supratimas, kad sistemos automatiškai išvengina (todėl jų naudojimas tinkamai užkirsta kelią daugumui XSS, o aplenkimas jų nulinimo ją reintroduces) yra praktiškai svarbus.
Kadangi XSS yra dažnas, pavojingas pažeidžiamumas, grėsmingantis naudotojų seansais ir duomenimis, ypač programose, rodomus naudotojo turinį, ir kadangi supratimas apie tai, kaip jis veikia ir kaip jį užkirsti kelią (išvesties escaping, pavojingų API išvengimas, CSP, sistemos numatytumai) yra esminis žinių kūrėjams, supratimas apie XSS ir jo prevenciją yra esminis, turi būti žinimos saugumo žinios — fundamentalus tinklo pažeidžiamumas, nuo kurio reikia gintis, kur tinkamas išvesties tvarkymas (escaping, naudojimas sistemos numatytuosius nustatymus, pavojingų API išvengimas) yra kritinės žinios, apsaugantos naudotojus nuo plačios atakos klasės.