Ce este Cross-Site Scripting (XSS) și cum o previi?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** este o vulnerabilitate în care un atacator injectează **JavaScript** malițios într-o pagină web vizualizată de alți utilizatori — rulând în browserele acestora pentru a fura date, a detourna sesiuni, sau a efectua acțiuni în calitate de ei. Este o vulnerabilitate web comună și periculoasă, care poate fi prevenită cu manipularea corectă a output-ului. ## Cum funcționează XSS ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` Scriptul injectat rulează în browserele victimelor **ca și cum ar proveni din site-ul de încredere** — permițând atacatorilor să fure cookie-uri de sesiune/token-uri, să deturneze conturi, să captureze apăsări de taste, sau să efectueze acțiuni ca utilizatorul. ## Tipuri de XSS ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## Prevenire ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## De ce este important Înțelegerea XSS și a modului de prevenire este esențială deoarece este o **vulnerabilitate web comună și periculoasă** care permite atacatorilor să ruleze scripturi malițioase în browserele utilizatorilor, prin urmare este cunoaștere de securitate obligatorie pentru dezvoltatorii web. Înțelegerea **modului în care funcționează** — că randarea input-ului utilizatorului într-o pagină fără escape adecvat permite **JavaScript injectat să ruleze în browserele altor utilizatori în contextul site-ului de încredere**, permițând atacatorilor să fure cookie-uri de sesiune și token-uri, să deturneze conturi și să acționeze ca utilizatorul — este necesară pentru a recunoaște și preveni vulnerabilitatea. XSS este periculos deoarece compromite sesiunile și datele utilizatorilor, și este frecvent în aplicațiile web care afișează conținut generat de utilizatori. Înțelegerea **tipurilor** (Stored XSS — scripturi malițioase salvate pe server și servite tuturor vizitatorilor, cel mai periculos; Reflected XSS — scripturi reflectate dintr-o cerere; DOM-based XSS — manipularea nesigură a DOM-ului pe partea client) ajută la recunoașterea diferiților vectori de atac. Înțelegerea **prevenției** este esențială: **escaping/encoding output** (randarea datelor utilizatorului ca text, nu HTML — apărarea cheie, pe care framework-uri moderne ca React o fac automat în mod implicit atunci când sunt utilizate corect), **evitarea API-urilor periculoase** (innerHTML, dangerouslySetInnerHTML, eval cu date de neîncredere — surse comune de XSS), **sanitizarea HTML** atunci când trebuie permis conținut bogat (de ex. DOMPurify), **Content Security Policy** (restricționarea execuției scripturilor ca apărare în adâncime), și **cookie-uri HttpOnly** (prevenirea citirii lor de JavaScript). Înțelegerea că framework-urile escape automat (deci folosind le corect previne majoritatea XSS, în timp ce ocolirea escape-ului reintroduce vulnerabilitatea) este important din punct de vedere practic. Deoarece XSS este o vulnerabilitate comună și periculoasă care compromite sesiunile și datele utilizatorilor, mai ales în aplicații care afișează conținut al utilizatorilor, și deoarece înțelegerea modului în care funcționează și cum o previi (escaping output, evitarea API-urilor periculoase, CSP, implicite framework-ului) este esențială pentru dezvoltatorii web, înțelegerea XSS și prevenția acesteia este cunoaștere de securitate esențială și obligatorie — o vulnerabilitate web fundamentală de care trebuie să te aperi, unde manipularea corectă a output-ului (escaping, utilizarea implicite framework-ului, evitarea API-urilor periculoase) este cunoaștere critică pentru protejarea utilizatorilor de o clasă larg răspândită de atacuri.