Cross-Site Scripting (XSS) er en sårbarhet der en angriper injiserer ondsinnet JavaScript inn i en nettside som blir sett av andre brukere — kjører i nettleserne deres for å stjele data, kapre økter eller utføre handlinger på deres vegne. Det er en vanlig, farlig netttsårbarhet som kan forhindres med riktig håndtering av utdata.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Den injiserte skripten kjører i ofrenes nettlesere som om den kom fra det klarerte nettstedet — som lar angripere stjele økter-informasjonskapsler/tokens, kapre kontoer, fange tastaturinput eller utføre handlinger som brukeren.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Å forstå XSS og hvordan du forhindrer det er essensielt fordi det er en vanlig, farlig netttsårbarhet som lar angripere kjøre ondsinnet skript i nettleserne til brukere, så det er nødvendig sikkerhetskunnskap for nettutviklere.
Å forstå hvordan det fungerer — at gjengivelse av brukerinput på en side uten riktig escaping lar injisert JavaScript kjøre i andre brukeres nettlesere i konteksten av det klarerte nettstedet, som gjør det mulig for angripere å stjele økter-informasjonskapsler og tokens, kapre kontoer og handle som brukeren — er nødvendig for å gjenkjenne og forhindre sårbarheten.
XSS er farlig fordi det kompromitterer økter og data til brukere, og det er vanlig i nettapplikasjoner som viser brukergenerert innhold.
Å forstå typene (lagret XSS — ondsinnet skript lagret på serveren og levert til alle seere, det mest farlige; reflektert XSS — skript reflektert fra en forespørsel; DOM-basert XSS — usikker DOM-manipulasjon på klientsiden) hjelper til med å gjenkjenne de ulike angrepsvektorene.
Å forstå forebyggingen er essensielt: escaping/koding av utdata (gjengivelse av brukerdata som tekst, ikke HTML — nøkkelforsvarlingen, som moderne rammeverk som React gjør automatisk som standard når de brukes riktig), unngå farlige APIer (innerHTML, dangerouslySetInnerHTML, eval med data som ikke er klarert — vanlige XSS-kilder), sanering av HTML når rikt innhold må tillates (f.eks. DOMPurify), Content Security Policy (begrensing av skriptutføring som dybdeforsvar) og HttpOnly-informasjonskapsler (hindrer JS fra å lese dem).
Å forstå at rammeverk auto-escaper (slik at bruk av dem på riktig måte forhindrer de fleste XSS-angrep, mens omgåing av deres escaping reintroduserer det) er praktisk viktig.
Siden XSS er en vanlig, farlig sårbarhet som kompromitterer økter og data til brukere, spesielt i applikasjoner som viser brukerinnhold, og siden det å forstå hvordan det fungerer og hvordan du forhindrer det (utdata-escaping, unngå farlige APIer, CSP, rammeverk som er standard) er essensielt for nettutviklere, er det å forstå XSS og forebyggingen av det essensielt, nødvendig sikkerhetskunnskap — en grunnleggende netttsårbarhet å forsvare seg mot, der riktig håndtering av utdata (escaping, bruk av rammeverk som er standard, unngå farlige APIer) er kritisk kunnskap for å beskytte brukere mot en utbredt klasse angrepssystemer.