Cross-Site Scripting (XSS) je ranljivost, pri kateri napadalec injicira zlonamerno JavaScript na spletno stran, ki jo gledate drugi uporabniki — se izvaja v njihovih brskalnikih, da ukrade podatke, prevzame seje ali izvaja dejanja v njihovem imenu. To je pogosta, nevarnega spletna ranljivost, ki je preprečljiva z ustreznim rukovanjem rezultatov.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Injicirani skript se izvaja v brskalnikih žrtev kot da bi bil s strani zaupanja vrednega spletnega mesta — kar napadalcem omogoča, da krajo kolačke seje/žetone, prevzamejo račune, zajamejo poteze tipk ali izvršijo dejanja v imenu uporabnika.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Razumevanje XSS in kako ga preprečiti je bistveno, ker je to pogosta, nevarna spletna ranljivost, ki napadalcem omogoča, da izvršijo zlonamernega skripte v brskalnikih uporabnikov, zato je to obvezno znanje o varnosti za spletne razvijalce.
Razumevanje kako deluje — da brez ustreznega niza escapeanja pri upodabljanju vnosov uporabnikov na stranjo injicirani JavaScript se izvaja v brskalnikih drugih uporabnikov v kontekstu zaupanja vrednega spletnega mesta, kar napadalcem omogoča, da kradejo kolačke seje in žetone, prevzamejo račune in delujejo kot uporabnik — je potrebno, da prepoznate in preprečite ranljivost.
XSS je nevaren, ker ogrozi uporabnikove seje in podatke, pogost pa je tudi v spletnih aplikacijah, ki prikazujejo vsebino, ki jo je ustvaril uporabnik.
Razumevanje vrst (shranjeni XSS — zlonamernega skripta, shranjeni na strežniku in posluževani vsem gledalcem, najbolj nevarni; odraženi XSS — skripta, ki se odražajo iz zahteve; XSS na podlagi DOM — varnostno problematično manipuliranje DOM-a na strani odjemalca) vam pomaga, da prepoznate različne vektorje napadov.
Razumevanje preprečevanja je bistveno: niz escapeanja/kodiranja rezultatov (upodabljanje podatkov uporabnika kot besedila, ne HTML — ključna obrana, ki jo moderne ogrodja, kot je React, privzeto izvršijo avtomatsko, če se uporabljajo ustrezno), izogibanje nevarnim API-jem (innerHTML, dangerouslySetInnerHTML, eval z nezaupanja vrednimi podatki — pogosti viri XSS), čiščenje HTML kadar je treba dovoliti bogatega vsebino (npr. DOMPurify), Content Security Policy (omejovanje izvršitve skriptov kot obrana v globino) in HttpOnly cookies (preprečevanje branja JS).
Razumevanje, da ogrodja avtomatsko niz escapeanja (zato pravilna uporaba preprečuje večino XSS, medtem ko obhod njihovega niza escapeanja ga ponovno uvede) je praktično pomembno.
Ker je XSS pogosta, nevarna ranljivost, ki ogrozi uporabnikove seje in podatke, zlasti v aplikacijah, ki prikazujejo vsebino uporabnikov, in ker je razumevanje, kako deluje in kako ga preprečiti (niz escapeanja rezultatov, izogibanje nevarnim API-jem, CSP, privzete vrednosti ogrodja) bistveno za spletne razvijalce, je razumevanje XSS in njegove prevencije bistveno, obvezno znanje o varnosti — temeljna spletna ranljivost za obrambo, kjer je ustrezno rukovanje rezultatov (niz escapeanja, uporaba privzetih vrednosti ogrodja, izogibanje nevarnim API-jem) kritično znanje za zaščito uporabnikov pred razširjenim razredom napadov.