Co to jest Cross-Site Scripting (XSS) i jak go zapobiegać?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** to luka w bezpieczeństwie, w której atakujący wstrzykuje złośliwy **JavaScript** na stronę internetową przeglądaną przez innych użytkowników — uruchamiając się w ich przeglądarkach w celu kradzieży danych, przejęcia sesji lub wykonania działań w ich imieniu. To powszechna, niebezpieczna luka w bezpieczeństwie sieci web, którą można zapobiec poprzez prawidłową obsługę danych wyjściowych. ## Jak działa XSS ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` Wstrzyknięty skrypt uruchamia się w przeglądarkach ofiar **tak jakby pochodził z zaufanej witryny** — pozwalając atakującym na kradzież ciasteczek sesji/tokenów, przejęcie kont, przechwycenie naciśnięć klawiszy lub wykonanie działań jako użytkownik. ## Typy XSS ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## Zapobieganie ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## Dlaczego to ważne Zrozumienie XSS i sposobu jego zapobiegania jest istotne, ponieważ jest to **powszechna, niebezpieczna luka w bezpieczeństwie sieci web**, która pozwala atakującym uruchamiać złośliwe skrypty w przeglądarkach użytkowników, dlatego jest to wiedza o bezpieczeństwie, którą muszą znać deweloperzy web. Zrozumienie **jak to działa** — że renderowanie danych wejściowych użytkownika na stronie bez prawidłowego kodowania pozwala wstrzykniętemu **JavaScriptowi uruchamiać się w przeglądarkach innych użytkowników w kontekście zaufanej witryny**, umożliwiając atakującym kradzież ciasteczek sesji i tokenów, przejęcie kont i działanie jako użytkownik — jest niezbędne do rozpoznania i zapobiegania luce. XSS jest niebezpieczny, ponieważ kompromituje sesje i dane użytkowników, i jest powszechny w aplikacjach web, które wyświetlają treści generowane przez użytkowników. Zrozumienie **typów** (przechowywane XSS — złośliwe skrypty zapisane na serwerze i serwowane wszystkim oglądającym, najbardziej niebezpieczne; odbite XSS — skrypty odbite z żądania; XSS oparte na DOM — niezabezpieczna manipulacja DOM po stronie klienta) pomaga rozpoznać różne wektory ataku. Zrozumienie **zapobiegania** jest istotne: **kodowanie/escape'owanie danych wyjściowych** (renderowanie danych użytkownika jako tekstu, a nie HTML — kluczowa obrona, którą nowoczesne frameworki takie jak React robią automatycznie domyślnie, gdy są prawidłowo używane), **unikanie niebezpiecznych API** (innerHTML, dangerouslySetInnerHTML, eval z niezaufanymi danymi — powszechne źródła XSS), **czyszczenie HTML** gdy bogata zawartość musi być dozwolona (np. DOMPurify), **Content Security Policy** (ograniczenie wykonywania skryptów jako obrona wielowarstwowa) i **ciasteczka HttpOnly** (uniemożliwienie JS ich czytania). Zrozumienie, że frameworki automatycznie kodują (więc prawidłowe ich używanie zapobiega większości XSS, podczas gdy pomijanie ich kodowania przywraca to) jest praktycznie ważne. Ponieważ XSS jest powszechną, niebezpieczną luką kompromitującą sesje i dane użytkowników, szczególnie w aplikacjach wyświetlających treści użytkownika, a ponieważ zrozumienie jak to działa i jak to zapobiegać (kodowanie danych wyjściowych, unikanie niebezpiecznych API, CSP, domyślne ustawienia frameworków) jest niezbędne dla deweloperów web, zrozumienie XSS i jego zapobiegania jest istotną, obowiązkową wiedzą o bezpieczeństwie — fundamentalną luką w bezpieczeństwie do obrony, gdzie prawidłowa obsługa danych wyjściowych (kodowanie, używanie domyślnych ustawień frameworków, unikanie niebezpiecznych API) jest krytyczną wiedzą do ochrony użytkowników przed szeroką klasą ataków.