Çfarë është Cross-Site Scripting (XSS) dhe si ta parandaloni atë?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** është një vulnerabilitet ku një kërcënuesi injekton **JavaScript** të dëmshëm në një faqe web të shikuar nga përdorues të tjerë — duke u ekzekutuar në shfletuesit e tyre për të vjedhur të dhëna, për të marrë kontroll mbi sesionet, ose për të kryer veprime si ta ishin ata. Është një vulnerabilitet i zakonshëm dhe i rrezikshëm në web, i parandalueshëm me trajtim të duhur të daljes. ## Si funksionon XSS ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` Skripta e injektuar ekzekutohet në shfletuesit e viktimave **sikur të vije nga sajti i besuar** — duke u lejuar kërcënuesve të vjedhin cookies e tokens sesioni, të marrin kontrollin e llogarive, të kapin goditjet e tastierës, ose të kryejnë veprime si përdoruesi. ## Llojet e XSS ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## Parandalimi ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## Pse është e rëndësishme Në momentin kur kuptoni XSS dhe si ta parandaloni atë, kjo është thelbësore sepse është një **vulnerabilitet i zakonshëm dhe i rrezikshëm në web** që u lejon kërcënuesve të ekzekutojnë skripte të dëmshëm në shfletuesit e përdoruesve, prandaj është njohuri e detyrueshme e sigurisë për zhvilluesit e webut. Në momentin kur kuptoni **se si funksionon** — që paraqitja e inputit të përdoruesit në një faqe pa eskaping të duhur u lejon injektuar **JavaScript** të ekzekutohet në shfletuesit e përdoruesve të tjerë në kontekstin e sitit të besuar, duke i lejuar kërcënuesve të vjedhin cookies dhe tokens sesioni, të marrin kontrollin e llogarive dhe të veprojnë si përdoruesi — kjo është e nevojshme për të njohur dhe parandaluar vulnerabilitetin. XSS është e rrezikshme sepse komprometson sesionet dhe të dhënat e përdoruesve, dhe është e zakonshme në aplikacione web që shfaqin përmbajtje të gjenuar nga përdoruesit. Në momentin kur kuptoni **llojet** (XSS i ruajtur — skripte të dëmshme të ruajtura në server dhe të shërbyer të gjithë shikuesve, më e rrezikshme; XSS i reflektuar — skripte të reflektuara nga një kërkesë; XSS i bazuar në DOM — manipulim i pasigurt i DOM-it në anën e klientit) kjo ndihmon të njihni vektorët e ndryshëm të sulmit. Në momentin kur kuptoni **parandalimin** kjo është thelbësore: **eskaping/kodimi i daljes** (paraqitja e të dhënave të përdoruesit si tekst, jo si HTML — mbrojtja kryesore, të cilën frameworks modernë si React e bëjnë automatikisht si parazgjedhje kur përdoren si duhet), **përqëndrim i API-ve të rrezikshme** (innerHTML, dangerouslySetInnerHTML, eval me të dhëna të pabesimshmja — burime të zakonshme XSS), **pastrimi i HTML** kur përmbajtja e pasur duhet të lejohet (p.sh. DOMPurify), **Content Security Policy** (kufizimi i ekzekutimit të skriptave si mbrojtje mësyshore), dhe **HttpOnly cookies** (parandalimi i JS-it të lexojë ato). Në momentin kur kuptoni se frameworks-et e parazgjedhin eskaping (pra përdorimi i duhur i tyre parandalon shumicën e XSS, ndërsa kalimi rreth eskaping-ut e ripresent atë) kjo është praktikisht e rëndësishme. Meqë XSS është një vulnerabilitet i zakonshëm dhe i rrezikshëm që komprometov sesionet dhe të dhënat e përdoruesve, veçanërisht në aplikacione që shfaqin përmbajtje të përdoruesve, dhe meqë kuptimi se si funksionon dhe si ta parandaloni atë (eskaping i daljes, përqëndrim i API-ve të rrezikshme, CSP, parazgjedhjet e framework-ut) është thelbësor për zhvilluesit e webut, kuptimi i XSS dhe parandalimi i tij është njohuri e detyrueshme e sigurisë — një vulnerabilitet themelor i webut kundër të cilit duhet të mbrohemi, ku trajtimi i duhur i daljes (eskaping, përdorimi i parazgjedhjeve të framework-ut, përqëndrim i API-ve të rrezikshme) është njohuri kritike për mbrojtjen e përdoruesve nga një klasë e përhapjes e sulmeve.