Cross-Site Scripting (XSS) é uma vulnerabilidade onde um atacante injeta JavaScript malicioso em uma página web visualizada por outros usuários — executando em seus navegadores para roubar dados, sequestrar sessões ou realizar ações em nome deles. É uma vulnerabilidade web comum e perigosa, evitável com tratamento adequado de saída.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
O script injetado é executado nos navegadores das vítimas como se viesse do site confiável — permitindo que atacantes roubem cookies/tokens de sessão, sequestrem contas, capturem toques de teclado ou realizem ações como o usuário.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Entender XSS e como evitá-lo é essencial porque é uma vulnerabilidade web comum e perigosa que permite que atacantes executem scripts maliciosos nos navegadores dos usuários, portanto é conhecimento de segurança imprescindível para desenvolvedores web.
Entender como funciona — que renderizar entrada do usuário em uma página sem escape adequado permite que JavaScript injetado seja executado nos navegadores de outros usuários no contexto do site confiável, permitindo que atacantes roubem cookies e tokens de sessão, sequestrem contas e ajam como o usuário — é necessário para reconhecer e prevenir a vulnerabilidade.
XSS é perigoso porque compromete sessões e dados dos usuários, e é comum em aplicações web que exibem conteúdo gerado pelo usuário.
Entender os tipos (XSS armazenado — scripts maliciosos salvos no servidor e servidos para todos os visualizadores, o mais perigoso; XSS refletido — scripts refletidos de uma requisição; XSS baseado em DOM — manipulação DOM insegura no lado do cliente) ajuda a reconhecer os diferentes vetores de ataque.
Entender a prevenção é essencial: escape/encoding de saída (renderizar dados do usuário como texto, não HTML — a defesa principal, que frameworks modernos como React fazem automaticamente por padrão quando usados adequadamente), evitar APIs perigosas (innerHTML, dangerouslySetInnerHTML, eval com dados não confiáveis — fontes comuns de XSS), sanitizar HTML quando conteúdo rico deve ser permitido (por exemplo, DOMPurify), Content Security Policy (restringindo execução de scripts como defesa em profundidade), e cookies HttpOnly (impedindo que JS os leia).
Entender que frameworks fazem auto-escape (portanto usar adequadamente previne a maioria dos XSS, enquanto contornar o escape reintroduz) é praticamente importante.
Como XSS é uma vulnerabilidade comum e perigosa que compromete sessões e dados dos usuários, especialmente em aplicações que exibem conteúdo do usuário, e como entender como funciona e como prevenir (escape de saída, evitar APIs perigosas, CSP, padrões de framework) é essencial para desenvolvedores web, entender XSS e sua prevenção é conhecimento de segurança essencial e imprescindível — uma vulnerabilidade web fundamental para defender, onde o tratamento adequado de saída (escape, usar padrões de framework, evitar APIs perigosas) é conhecimento crítico para proteger usuários de uma classe ampla de ataques.