Cross-Site Scripting (XSS) एक कमजोरी हो जहाँ एक आक्रमणकारी दुर्भावनापूर्ण JavaScript लाई वेब पृष्ठमा इन्जेक्ट गर्छ जुन अन्य प्रयोगकर्ताहरूले हेरेका छन् — तिनीहरूको ब्राउजरमा चलिरहेको डेटा चोरी गर्न, सत्र अपहरण गर्न, वा तिनीहरूको रूपमा कार्य गर्न। यो एक सामान्य, खतरनाक वेब कमजोरी हो, जुन उचित आउटपुट हार्डलिङद्वारा रोकिने सम्भव छ।
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
इन्जेक्ट गरिएको स्क्रिप्ट पीडितहरूको ब्राउजरमा चलिरहेको छ विश्वस्त साइटबाट मानिन्छ — आक्रमणकारीहरूलाई सत्र कुकीहरू/टोकनहरू चोरी गर्न, खाताहरू अपहरण गर्न, कीस्ट्रोकहरू क्याप्चर गर्न, वा प्रयोगकर्ताको रूपमा कार्य गर्न दिन्छ।
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
XSS लाई बुझ्न र यसलाई कसरी रोक्न सक्ने भन्ने कुरा आवश्यक छ किनभने यो एक सामान्य, खतरनाक वेब कमजोरी हो जसले आक्रमणकारीहरूलाई प्रयोगकर्ताहरूको ब्राउजरमा दुर्भावनापूर्ण स्क्रिप्टहरू चलाउन दिन्छ, त्यसैले यो वेब विकासकर्ताहरूको लागि आवश्यक सुरक्षा ज्ञान हो।
यो कसरी काम गर्छ भन्ने कुरा बुझ्न — कि उचित एस्केपिङ बिना प्रयोगकर्ता इनपुटलाई पृष्ठमा प्रस्तुत गर्नले इन्जेक्ट गरिएको JavaScript लाई विश्वस्त साइटको संदर्भमा अन्य प्रयोगकर्ताहरूको ब्राउजरमा चलाउन दिन्छ, आक्रमणकारीहरूलाई सत्र कुकीहरू र टोकनहरू चोरी गर्न, खाताहरू अपहरण गर्न, र प्रयोगकर्ताको रूपमा कार्य गर्न सक्षम गर्छ — यो कमजोरी पहिचान गर्न र रोक्न आवश्यक छ।
XSS खतरनाक छ किनभने यसले प्रयोगकर्ताहरूको सत्र र डेटाहरूलाई खतरामा पारिन्छ, र यो वेब अनुप्रयोगहरूमा सामान्य छ जुन प्रयोगकर्ता-उत्पन्न सामग्री प्रदर्शन गर्दछ।
प्रकारहरु को बुझ्न (संग्रहीत XSS — दुर्भावनापूर्ण स्क्रिप्टहरू सर्भरमा सहेजिएको र सबै दर्शकहरूलाई परिवेशन गरिएको, सबैभन्दा खतरनाक; प्रतिबिम्बित XSS — अनुरोधबाट प्रतिबिम्बित स्क्रिप्टहरू; DOM-आधारित XSS — क्लाइन्ट-पक्षीय असुरक्षित DOM हेरफेर) विभिन्न आक्रमण भेक्टरहरू पहिचान गर्न मद्दत गर्छ।
रोकथाम को बुझ्न आवश्यक छ: आउटपुट एस्केपिङ/एन्कोडिङ (प्रयोगकर्ता डेटा पाठको रूपमा प्रस्तुत गर्न, HTML को रूपमा नै — मुख्य बचाव, जुन React जस्ता आधुनिक ढाँचाहरूले सही रूपमा प्रयोग गर्दा स्वचालित रूपमा गर्छन्), खतरनाक APIs बचनु (innerHTML, dangerouslySetInnerHTML, अविश्वस्त डेटा सहित eval — सामान्य XSS स्रोतहरू), HTML स्यानिटाइजिङ जब समृद्ध सामग्री अनुमति दिइनु अवश्य हो (उदाहरण DOMPurify), Content Security Policy (स्क्रिप्ट कार्यान्वयनलाई प्रतिबन्ध गर्न रक्षा-गहिराइको रूपमा), र HttpOnly कुकीहरू (JS लाई तिनीहरू पढ्नबाट रोक्न)।
यो बुझ्न कि ढाँचाहरू स्वचालित-एस्केप गर्छन् (त्यसैले तिनीहरू सही रूपमा प्रयोग गर्दा अधिकांश XSS रोक्छ, जब उनीहरूको एस्केपिङ बाइपास गर्दा यो पुनः परिचय गर्छ) व्यावहारिक रूपमा महत्त्वपूर्ण छ।
XSS एक सामान्य, खतरनाक कमजोरी हो जसले प्रयोगकर्ताहरूको सत्र र डेटा खतरामा पारिन्छ, विशेष गरी प्रयोगकर्ता सामग्री प्रदर्शन गर्ने अनुप्रयोगहरूमा, र चूँकि यो कसरी काम गर्छ र यसलाई कसरी रोक्न सक्ने भन्ने कुरा बुझ्न (आउटपुट एस्केपिङ, खतरनाक APIs बचनु, CSP, ढाँचा पूर्वनिर्धारित) वेब विकासकर्ताहरूको लागि आवश्यक छ, XSS र यसको रोकथाम को बुझ्न आवश्यक छ, आवश्यक सुरक्षा ज्ञान — एक मौलिक वेब कमजोरी जसको विरुद्धमा बचाउ गर्नु हो, जहाँ उचित आउटपुट हार्डलिङ (एस्केपिङ, ढाँचा पूर्वनिर्धारितहरू प्रयोग गर्न, खतरनाक APIs बचनु) आक्रमणको व्यापक वर्गबाट प्रयोगकर्ताहरूलाई सुरक्षित गर्नको लागि महत्त्वपूर्ण ज्ञान हो।