Wat is Cross-Site Scripting (XSS) en hoe voorkom je het?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** is een kwetsbaarheid waarin een aanvaller kwaadaardig **JavaScript** in een webpagina injecteert die door andere gebruikers wordt bekeken — het wordt in hun browsers uitgevoerd om gegevens te stelen, sessies te kapen of acties als hen uit te voeren. Het is een veelvoorkomende, gevaarlijke webkwetsbaarheid die voorkomen kan worden met correct output handling. ## Hoe XSS werkt ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` Het geïnjecteerde script wordt in de browsers van slachtoffers uitgevoerd **alsof het van de vertrouwde site afkomstig is** — hierdoor kunnen aanvallers sessiecookies/tokens stelen, accounts kapen, toetsaanslagen vastleggen of acties als de gebruiker uitvoeren. ## Types XSS ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## Preventie ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## Waarom het belangrijk is XSS begrijpen en hoe je het voorkomt, is essentieel omdat het een **veelvoorkomende, gevaarlijke webkwetsbaarheid** is waarmee aanvallers kwaadaardig scripts in de browsers van gebruikers kunnen uitvoeren. Dit is daarom onmisbare veiligheidskennnis voor webontwikkelaars. /** Begrijpen **hoe het werkt** — dat het renderen van gebruikersinvoer in een pagina zonder correct escaping ervoor zorgt dat geïnjecteerd **JavaScript in de browsers van andere gebruikers in de context van de vertrouwde site wordt uitgevoerd**, waardoor aanvallers sessiecookies en tokens kunnen stelen, accounts kunnen kapen en als de gebruiker kunnen optreden — is nodig om de kwetsbaarheid te herkennen en te voorkomen. XSS is gevaarlijk omdat het de sessies en gegevens van gebruikers in gevaar brengt, en het komt veel voor in webapplicaties die door gebruikers gegenereerde inhoud weergeven. Begrijpen van de **types** (stored XSS — kwaadaardig scripts die op de server worden opgeslagen en aan alle viewers worden getoond, het gevaarlijkst; reflected XSS — scripts die uit een verzoek worden gereflecteerd; DOM-based XSS — onveilige DOM-manipulatie aan de clientzijde) helpt om de verschillende aanvalsvectoren te herkennen. Begrijpen van de **preventie** is essentieel: **output escapen/encoderen** (gebruikersgegevens als tekst renderen, niet als HTML — de sleutelafweer, die moderne frameworks zoals React standaard automatisch doen wanneer ze correct worden gebruikt), **gevaarlijke API's vermijden** (innerHTML, dangerouslySetInnerHTML, eval met niet-vertrouwde gegevens — veelvoorkomende XSS-bronnen), **HTML sanitizen** wanneer rijke inhoud moet worden toegestaan (bijv. DOMPurify), **Content Security Policy** (het beperken van scriptuitvoering als defense-in-depth), en **HttpOnly cookies** (het voorkomen dat JS ze kan lezen). Begrijpen dat frameworks auto-escape (dus het correct gebruiken ervan voorkomt de meeste XSS, terwijl het omzeilen van hun escaping het opnieuw introduceert) is praktisch belangrijk. Aangezien XSS een veelvoorkomende, gevaarlijke kwetsbaarheid is die de sessies en gegevens van gebruikers in gevaar brengt, vooral in apps die door gebruikers gegenereerde inhoud weergeven, en aangezien begrijpen hoe het werkt en hoe het te voorkomen is (output escapen, gevaarlijke API's vermijden, CSP, framework defaults) essentieel is voor webontwikkelaars, is begrijpen van XSS en de preventie ervan essentieel en onmisbare veiligheidskennnis — een fundamentele webkwetsbaarheid om tegen te verdedigen, waarbij correct output handling (escapen, framework defaults gebruiken, gevaarlijke API's vermijden) kritieke kennis is voor het beschermen van gebruikers tegen een wijdverspreide klasse van aanvallen.