Cross-Site Scripting (XSS) hija vulnerabilità fejn attakkant jinjetta JavaScript malizzjuż fi paġna web li tinħarsa minn users oħrajn — jitxaħħad fil-browsers tagħhom biex jisrqu data, jikkapturaw sessions, jew iwettqu azzjonijiet bħala huma. Hija vulnerabilità komuni u perikulusa tal-web, li tista' tiġi evitata b'handling output xieraq.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Il-iskritt injettata jitxaħħaq fil-browsers tal-vittmi kif li kienet mill-website tat-trust — u tippermetti lill-attakkanti jisrqu session cookies/tokens, jikkapturaw accounts, jaqbdu keystrokes, jew iwettqu azzjonijiet bħala l-user.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
L-għarfien ta' XSS u kif tipprevjenilha hija essenzjali għax hija vulnerabilità komuni u perikulusa tal-web li tippermetti lill-attakkanti jitxaħħu scripts malizzjużi fil-browsers tal-users, għalhekk hija magħrifa ta' sigurtà li għandek tikkun taf għal developers tal-web. _Il-għarfien kif jaħdem — li r-rendering ta' user input fi paġna mingħajr escaping xieraq tippermetti lill-JavaScript injettata tistexec fil-browsers tal-users oħrajn fil-kuntest tat-trusted site, li tippermetti lill-attakkanti jisrqu session cookies u tokens, jikkapturaw accounts, u jħarrqu bħala l-user — hija meħtieġa biex taqbel u tipprevjeni l-vulnerabilità.
XSS hija perikulusa għax tikkomprometti sessions u data tal-users, u hija komuni f'web apps li jinfissu user-generated content.
L-għarfien tat-tipi (stored XSS — scripts malizzjużi mqassma fuq is-server u mgħaddija lil-kulħadd, l-aktar perikuluż; reflected XSS — scripts riflessi minn request; DOM-based XSS — unsafe DOM manipulation fuq il-client-side) jgħin taqbel il-vettori ta' attakk differenti.
L-għarfien tal-prevenzjoni hija essenzjali: escaping/encoding output (ir-rendering ta' user data bħala test, mhux HTML — il-main defence, li modern frameworks bħal React jagħmilha automatikament b'default meta jintużaw xieraq), jevolja dangerous APIs (innerHTML, dangerouslySetInnerHTML, eval ma' untrusted data — sorgenti komuni ta' XSS), sanitizing HTML meta rich content għandu jibqa' permess (eż. DOMPurify), Content Security Policy (restrizzjoni ta' script execution bħala defence-in-depth), u HttpOnly cookies (iprevenzjoni li JS ikun jista' jaqraħhom).
L-għarfien li frameworks auto-escape (għalhekk l-użu tagħhom xieraq jipprevjeni l-aktar XSS, filwaqt li l-bypass tal-escaping tagħhom jireintrodotta) hija praktikament importanti.
Bħal XSS hija vulnerabilità komuni u perikuluża li tikkomprometti sessions u data tal-users, speċjalment f'apps li jinfissu user content, u bħal l-għarfien kif jaħdem u kif tipprevjenilha (output escaping, jevolja dangerous APIs, CSP, framework defaults) hija essenzjali għal web developers, il-għarfien ta' XSS u l-prevenzjoni tagħha hija essenzjali, magħrifa ta' must-know security — fundamentali web vulnerability li għandek tiddifendi kontrha, fejn l-proper output handling (escaping, użu ta' framework defaults, jevolja dangerous APIs) hija magħrifa kritika għat-protezzjoni tal-users minn widespread class ta' attacks.