Cross-Site Scripting (XSS) är en sårbarhet där en angripare injicerar skadlig JavaScript på en webbsida som visas för andra användare — körs i deras webbläsare för att stjäla data, kapra sessioner eller utföra åtgärder för deras räkning. Det är en vanlig, farlig webbsårbarhet som kan förhindras med korrekt utdatahantering.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Det injicerade skriptet körs i offrets webbläsare som om det kommer från den betrodda webbplatsen — vilket låter angripare stjäla sessionscookies/tokens, kapra konton, fånga tangenttryckningar eller utföra åtgärder som användaren.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Att förstå XSS och hur man förhindrar det är väsentligt eftersom det är en vanlig, farlig webbsårbarhet som låter angripare köra skadliga skript i användarnas webbläsare, så det är måste-veta säkerhetskunskap för webbutvecklare.
Att förstå hur det fungerar — att rendering av användarinmatning på en sida utan korrekt escape-behandling låter injicerad JavaScript köras i andra användares webbläsare i den betrodda webbplatsens kontext, vilket gör att angripare kan stjäla sessionscookies och tokens, kapra konton och agera som användaren — är nödvändigt för att känna igen och förhindra sårbarheten.
XSS är farligt eftersom det äventyrar användares sessioner och data, och det är vanligt i webbapplikationer som visar användargenerad innehål.
Att förstå typerna (lagrad XSS — skadliga skript sparade på servern och serverade till alla tittare, den farligaste; reflekterad XSS — skript reflekterade från en förfrågan; DOM-baserad XSS — osäker DOM-manipulation på klientsidan) hjälper till att känna igen de olika attackvektorerna.
Att förstå förebyggandet är väsentligt: escape/encode-utdata (rendering av användardata som text, inte HTML — försvaret som är nyckeln, som moderna ramverk som React gör automatiskt som standard när de används korrekt), undvika farliga API:er (innerHTML, dangerouslySetInnerHTML, eval med opålitlig data — vanliga XSS-källor), sanering av HTML när rik innehål måste tillåtas (t.ex. DOMPurify), Content Security Policy (begränsa skriptkörning som försvarsdjup) och HttpOnly-cookies (förhindra att JS läser dem).
Att förstå att ramverk auto-escape (så att använda dem korrekt förhindrar mest XSS, medan att kringgå deras escape-behandling återinför det) är praktiskt viktigt.
Eftersom XSS är en vanlig, farlig sårbarhet som äventyrar användares sessioner och data, särskilt i appar som visar användarinnehål, och eftersom att förstå hur det fungerar och hur man förhindrar det (utdata-escape, undvika farliga API:er, CSP, ramverksstandarder) är väsentligt för webbutvecklare, är förståelse för XSS och dess förebyggande väsentlig, måste-veta säkerhetskunskap — en grundläggande webbsårbarhet att försvara sig mot, där korrekt utdatahantering (escape, använda ramverksstandarder, undvika farliga API:er) är kritisk kunskap för att skydda användare från en utbredd klass attacker.