Cross-Site Scripting (XSS) म्हणजे काय आणि तुम्ही हे कसे रोखता?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** हा एक असुरक्षितता आहे जिथे एक हल्लाबोर इतर वापरकर्त्यांद्वारे पाहिल्या जाणार्या वेब पेजमध्ये दुर्भावनापूर्ण **JavaScript** इंजेक्ट करतो — त्यांच्या ब्राउজरमध्ये चालत डेटा चोरी करण्यासाठी, सत्र अपहरण करण्यासाठी किंवा त्यांच्या म्हणून क्रिया करण्यासाठी. हे एक सामान्य, धोकादायक वेब असुरक्षितता आहे, जे योग्य आउटपुट हॅन्डलिंगद्वारे रोकता येते. ## XSS कसे कार्य करते ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` इंजेक्ट केलेली स्क्रिप्ट बळी मार्फत ब्राउজरमध्ये चालते **विश्वसनीय साइटमधून असल्यासारखे** — हल्लाबोर सत्र कुकी/टोकन चोरी करू शकतात, खाती अपहरण करू शकतात, कीस्ट्रोक कॅप्चर करू शकतात, किंवा वापरकर्त्याच्या म्हणून क्रिया करू शकतात. ## XSS चे प्रकार ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## प्रतिबंध ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## हे का महत्वाचे आहे XSS समजून घेणे आणि हे कसे रोखायचे हे समजून घेणे आवश्यक आहे कारण हे एक **सामान्य, धोकादायक वेब असुरक्षितता** आहे जी हल्लाबोर वापरकर्त्यांच्या ब्राउজरमध्ये दुर्भावनापूर्ण स्क्रिप्ट चलवू शकते, त्यामुळे हे वेब विकास करणाऱ्यांसाठी अवश्य-माहित असलेले सुरक्षा ज्ञान आहे. **हे कसे कार्य करते** हे समजून घेणे — की वापरकर्त्याचे इनपुट योग्य एस्केपिंगशिवाय पेजमध्ये रेंडर केल्यास इंजेक्ट केलेले **JavaScript विश्वसनीय साइटच्या संदर्भात इतर वापरकर्त्यांच्या ब्राउজरमध्ये चालते**, हल्लाबोर सत्र कुकी आणि टोकन चोरी करू शकतात, खाती अपहरण करू शकतात, आणि वापरकर्त्याचे स्वरूप धारण करू शकतात — हे असुरक्षितता ओळखण्यासाठी आणि रोखण्यासाठी आवश्यक आहे. XSS धोकादायक आहे कारण हे वापरकर्त्यांच्या सत्र आणि डेटाशी तडजोड करते, आणि हे वेब अ‍ॅप्लिकेशनमध्ये सामान्य आहे जे वापरकर्ता-निर्मित सामग्री दर्शवते. **प्रकार** समजून घेणे (संचित XSS — दुर्भावनापूर्ण स्क्रिप्ट सर्व्हरवर संचित आणि सर्व दर्शकांना सेवा दिलेल्या, सर्वात धोकादायक; प्रतिबिंबित XSS — विनंतीपासून प्रतिबिंबित स्क्रिप्ट; DOM-आधारित XSS — क्लायंट-साइड असुरक्षित DOM हेरफेर) वेगवेगळ्या हल्ल्याच्या सदिशांना ओळखण्यास मदत करते. **प्रतिबंध** समजून घेणे आवश्यक आहे: **आउटपुट एस्केपिंग/एन्कोडिंग** (वापरकर्त्याचे डेटा मजकूर म्हणून रेंडर करणे, HTML नाही — मुख्य संरक्षण, जे आधुनिक फ्रेमवर्क जसे React स्वयंचलितपणे डिफॉल्टने करते जेव्हा योग्यरित्या वापरले जाते), **धोकादायक API टाळणे** (innerHTML, dangerouslySetInnerHTML, विश्वस्त नसलेल्या डेटासह eval — सामान्य XSS स्रोत), **HTML सॅनिटाइजिंग** जेव्हा समृद्ध सामग्री अनुमत असणे आवश्यक आहे (उदा. DOMPurify), **Content Security Policy** (स्क्रिप्ट एक्जिक्यूशन प्रतिबंधित करणे रक्षा-गहराईमध्ये), आणि **HttpOnly कुकी** (JS त्यांना वाचत प्रतिबंधित करणे). फ्रेमवर्क स्वयंचलितपणे एस्केप करतात हे समजून घेणे (त्यामुळे त्यांचा योग्यरित्या वापर केल्यास बहुतेक XSS रोखते, त्यांच्या एस्केपिंग बायपास करणे पुन्हा ते सादर करते) व्यावहारिकदृष्ट्या महत्वाचे आहे. कारण XSS एक सामान्य, धोकादायक असुरक्षितता आहे जी वापरकर्त्यांच्या सत्र आणि डेटाशी तडजोड करते, विशेषतः वापरकर्ता-निर्मित सामग्री दर्शवणार्या अ‍ॅप्लिकेशनमध्ये, आणि कारण हे कसे कार्य करते आणि हे कसे रोखायचे हे समजून घेणे (आउटपुट एस्केपिंग, धोकादायक API टाळणे, CSP, फ्रेमवर्क डिफॉल्ट) वेब विकास करणाऱ्यांसाठी आवश्यक आहे, XSS आणि त्याचे प्रतिबंध समजून घेणे आवश्यक, अवश्य-माहित असलेले सुरक्षा ज्ञान आहे — एक मूलभूत वेब असुरक्षितता ज्याचा संरक्षण करावा, जिथे योग्य आउटपुट हॅन्डलिंग (एस्केपिंग, फ्रेमवर्क डिफॉल्ट वापरणे, धोकादायक API टाळणे) वापरकर्त्यांना व्यापक हल्ल्यांच्या वर्गापासून संरक्षित करण्यासाठी गंभीर ज्ञान आहे.