Cross-Site Scripting (XSS) ਇੱਕ ਕਮਜ਼ੋਰੀ ਹੈ ਜਿੱਥੇ ਇੱਕ ਹਮਲਾਵਰ ਇੱਕ ਵੈੱਬ ਪੇਜ ਵਿੱਚ ਖਤਰਨਾਕ JavaScript ਨੂੰ ਇੰਜਕਟ ਕਰਦਾ ਹੈ ਜਿਸ ਨੂੰ ਹੋਰ ਯੂਜਰ ਦੇਖਦੇ ਹਨ — ਇਨ੍ਹਾਂ ਦੇ ਬ੍ਰਾਊਜ਼ਰਾਂ ਵਿੱਚ ਚੱਲ ਰਿਹਾ ਹੈ ਤਾਂ ਕਿ ਡਾਟਾ ਚੋਰ ਕਰਨ, ਸ਼ੈਸ਼ਨ ਹਾਈਜੈਕ ਕਰਨ, ਜਾਂ ਉਨ੍ਹਾਂ ਦੇ ਤੌਰ ਤੇ ਕ੍ਰਿਆਵਾਂ ਕਰ ਸਕੇ। ਇਹ ਇੱਕ ਆਮ, ਖਤਰਨਾਕ ਵੈੱਬ ਕਮਜ਼ੋਰੀ ਹੈ, ਜਿਸ ਨੂੰ ਸਹੀ ਆਊਟਪੁੱਟ ਹ್ਯਾਂਡਲਿੰਗ ਨਾਲ ਰੋਕਿਆ ਜਾ ਸਕਦਾ ਹੈ।
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
ਇੰਜਕਟ ਕੀਤਾ ਸਕ੍ਰਿਪਟ ਪੀੜਿਤਾਂ ਦੇ ਬ੍ਰਾਊਜ਼ਰਾਂ ਵਿੱਚ ਭਰੋਸੇਮੰਦ ਸਾਈਟ ਤੋਂ ਜਿਵੇਂ ਚੱਲਦਾ ਹੈ — ਹਮਲਾਵਰਾਂ ਨੂੰ ਸ਼ੈਸ਼ਨ ਕੂਕੀਜ/ਟੋਕਨ ਚੋਰ ਕਰਨ, ਖਾਤੇ ਹਾਈਜੈਕ ਕਰਨ, ਕੀਸਟ੍ਰੋਕ ਕੈਪਚਰ ਕਰਨ, ਜਾਂ ਯੂਜਰ ਦੇ ਤੌਰ ਤੇ ਕ੍ਰਿਆਵਾਂ ਕਰਨ ਦਿੰਦਾ ਹੈ।
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
XSS ਨੂੰ ਸਮਝਣਾ ਅਤੇ ਇਸ ਨੂੰ ਕਿਵੇਂ ਰੋਕਣਾ ਹੈ, ਇਹ ਜ਼ਰੂਰੀ ਹੈ ਕਿਉਂਕਿ ਇਹ ਇੱਕ ਆਮ, ਖਤਰਨਾਕ ਵੈੱਬ ਕਮਜ਼ੋਰੀ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਯੂਜਰਾਂ ਦੇ ਬ੍ਰਾਊਜ਼ਰਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਚਲਾਉਣ ਦਿੰਦੀ ਹੈ, ਇਸ ਲਈ ਇਹ ਵੈੱਬ ਡਿਵੈਲਪਰਾਂ ਲਈ ਜਾਣਨਾ ਲਾਜ਼ਮੀ ਹੈ।
ਇਹ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ — ਕਿ ਯੂਜਰ ਇਨਪੁੱਟ ਨੂੰ ਉਚਿਤ ਐਸਕੇਪਿੰਗ ਤੋਂ ਬਿਨਾਂ ਪੇਜ ਵਿੱਚ ਰੈਂਡਰ ਕਰਨਾ ਬਾਕੀ ਯੂਜਰਾਂ ਦੇ ਬ੍ਰਾਊਜ਼ਰਾਂ ਵਿੱਚ ਭਰੋਸੇਮੰਦ ਸਾਈਟ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਇੰਜਕਟ ਕੀਤਾ JavaScript ਚਲਾਉਣ ਦਿੰਦਾ ਹੈ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਸ਼ੈਸ਼ਨ ਕੂਕੀਜ ਅਤੇ ਟੋਕਨ ਚੋਰ ਕਰਨ, ਖਾਤੇ ਹਾਈਜੈਕ ਕਰਨ, ਅਤੇ ਯੂਜਰ ਦੇ ਤੌਰ ਤੇ ਕੰਮ ਕਰਨ ਦਿੰਦਾ ਹੈ — ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਪਛਾਣਨ ਅਤੇ ਰੋਕਣ ਲਈ ਜ਼ਰੂਰੀ ਹੈ।
XSS ਖਤਰਨਾਕ ਹੈ ਕਿਉਂਕਿ ਇਹ ਯੂਜਰਾਂ ਦੀਆਂ ਸ਼ੈਸ਼ਨਾਂ ਅਤੇ ਡਾਟੇ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਂਦਾ ਹੈ, ਅਤੇ ਇਹ ਵੈੱਬ ਐਪ੍ਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਆਮ ਹੈ ਜੋ ਯੂਜਰ-ਜਨਰੇਟਡ ਸਮੱਗਰੀ ਦਿਖਾਉਂਦੀਆਂ ਹਨ।
ਕਿਸਮਾਂ ਨੂੰ ਸਮਝਣਾ (stored XSS — ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਸਰਵਰ ਉੱਤੇ ਸੁਰੱਖਿਅਤ ਅਤੇ ਸਾਰੇ ਦਰਸ਼ਕਾਂ ਨੂੰ ਸਰਵ ਕੀਤੀਆਂ, ਸਭ ਤੋਂ ਖਤਰਨਾਕ; reflected XSS — ਇੱਕ ਬੇਨਤੀ ਤੋਂ ਪ੍ਰਤੀਬਿੰਬਿਤ ਸਕ੍ਰਿਪਟਾਂ; DOM-based XSS — ਕਲਾਇੰਟ-ਸਾਈਡ ਅਸੁਰੱਖਿਅਤ DOM ਮੇਲ-ਜੋਲ) ਵੱਖ-ਵੱਖ ਹਮਲੇ ਵੈਕਟਰਾਂ ਨੂੰ ਪਛਾਣਨ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ।
ਰੋਕਥਾਮ ਨੂੰ ਸਮਝਣਾ ਜ਼ਰੂਰੀ ਹੈ: ਆਊਟਪੁੱਟ ਐਸਕੇਪਿੰਗ/ਇਨਕੋਡਿੰਗ (ਯੂਜਰ ਡਾਟੇ ਨੂੰ HTML ਨਹੀਂ ਬਲਕਿ ਟੈਕਸਟ ਦੇ ਰੂਪ ਵਿੱਚ ਰੈਂਡਰ ਕਰਨਾ — ਮੁੱਖ ਰੱਖਿਆ, ਜੋ React ਜਿਵੇਂ ਆਧੁਨਿਕ ਫ੍ਰੇਮਵਰਕ ਸਹੀ ਤਰੀਕੇ ਨਾਲ ਵਰਤਣ ਸਮੇਂ ਆਟੋਮੈਟਿਕ ਕਰਦੇ ਹਨ), ਖਤਰਨਾਕ APIs ਤੋਂ ਬਚਣਾ (innerHTML, dangerouslySetInnerHTML, ਵਿਸ਼ਵਾਸ ਨਾ ਕੀਤੇ ਡਾਟੇ ਨਾਲ eval — ਆਮ XSS ਸਰੋਤ), HTML ਸ਼ੁੱਧਤਾ ਜਦੋਂ ਅਮੀਰ ਸਮੱਗਰੀ ਦੀ ਆਜ਼ਾਦੀ ਮਿਲਣੀ ਚਾਹੀਦੀ ਹੈ (ਉਦਾ. DOMPurify), Content Security Policy (ਸਕ੍ਰਿਪਟ ਇਕਸੁਆਰ ਨਿਯੰਤਰਣ ਰੱਖਿਆ ਵਿੱਚ), ਅਤੇ HttpOnly cookies (JS ਨੂੰ ਉਨ੍ਹਾਂ ਨੂੰ ਪੜ੍ਹਨ ਤੋਂ ਰੋਕਣਾ)। rame ਫ੍ਰੇਮਵਰਕ ਆਟੋ-ਐਸਕੇਪ ਕਰਦੇ ਹਨ (ਇਸ ਲਈ ਉਨ੍ਹਾਂ ਨੂੰ ਸਹੀ ਤਰੀਕੇ ਨਾਲ ਵਰਤਣਾ ਬਿਆਂ XSS ਨੂੰ ਰੋਕਦਾ ਹੈ, ਜਦੋਂ ਉਨ੍ਹਾਂ ਦੀ ਐਸਕੇਪਿੰਗ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ ਇਸ ਨੂੰ ਮੁੜ ਪਰਿਚਲਿਤ ਕਰਦਾ ਹੈ) ਸਮਝਣਾ ਵਿਹਾਰਕ ਤੌਰ ਤੇ ਜ਼ਰੂਰੀ ਹੈ।
Chiayak XSS ਇੱਕ ਆਮ, ਖਤਰਨਾਕ ਕਮਜ਼ੋਰੀ ਹੈ ਜੋ ਯੂਜਰਾਂ ਦੀਆਂ ਸ਼ੈਸ਼ਨਾਂ ਅਤੇ ਡਾਟੇ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਂਦੀ ਹੈ, ਖਾਸ ਤੌਰ ਉੱਤੇ ਉਨ੍ਹਾਂ ਐਪ੍ਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਜੋ ਯੂਜਰ ਸਮੱਗਰੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀਆਂ ਹਨ, ਅਤੇ ਕਿਉਂਕਿ ਇਸ ਨੂੰ ਸਮਝਣਾ ਅਤੇ ਇਸ ਨੂੰ ਕਿਵੇਂ ਰੋਕਣਾ ਹੈ (ਆਊਟਪੁੱਟ ਐਸਕੇਪਿੰਗ, ਖਤਰਨਾਕ APIs ਤੋਂ ਬਚਣਾ, CSP, ਫ੍ਰੇਮਵਰਕ ਡਿਫ਼ਾਲਟ) ਜ਼ਰੂਰੀ ਹੈ, XSS ਅਤੇ ਇਸ ਦੀ ਰੋਕਥਾਮ ਨੂੰ ਸਮਝਣਾ ਜ਼ਰੂਰੀ, ਜਾਣਨਾ ਲਾਜ਼ਮੀ ਸੁਰੱਖਿਆ ਗਿਆਨ ਹੈ — ਇੱਕ ਬੁਨਿਆਦੀ ਵੈੱਬ ਕਮਜ਼ੋਰੀ ਦਾ ਬਚਾਓ ਕਰਨ ਲਈ, ਜਿੱਥੇ ਸਹੀ ਆਊਟਪੁੱਟ ਹ್ਯਾਂਡਲਿੰਗ (ਐਸਕੇਪਿੰਗ, ਫ੍ਰੇਮਵਰਕ ਡਿਫ਼ਾਲਟ ਵਰਤਣਾ, ਖਤਰਨਾਕ APIs ਤੋਂ ਬਚਣਾ) ਯੂਜਰਾਂ ਨੂੰ ਇੱਕ ਵਾਪਿਆ ਹਾਲਾ ਵਰਗ ਦੇ ਹਮਲਿਆਂ ਤੋਂ ਸੁਰੱਖਿਅਤ ਰੱਖਣ ਲਈ ਮਾਮੂਲੀ ਗਿਆਨ ਹੈ।