Cross-Site Scripting (XSS) என்றால் என்ன மற்றும் அதை எப்படி தடுக்கலாம்?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** என்பது ஒரு பாதுகாப்பு குறைபாடு ஆகும், இதில் ஒரு தாக்குபவர் தீங்கிழைக்கும் **JavaScript** ஐ மற்ற பயனர்கள் பார்க்கும் ஒரு வலைப்பக்கத்தில் செலுத்துகிறார் — அவர்களின் உலாவிகளில் இயங்கி தரவைத் திருட, அமர்வுகளை கடத்த, அல்லது அவர்கள் செயல்களை செய்ய முடியும். இது ஒரு பொதுவான, ஆபத்தான வலைப் பாதுகாப்பு குறைபாடு ஆகும், சரியான வெளியீட்டு கையாளுதல் மூலம் தடுக்கக்கூடியது. ## XSS எப்படி வேலை செய்கிறது ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` செலுத்தப்பட்ட சிறிய நிரல் பாதிக்கப்பட்டவர்களின் உலாவிகளில் **நம்பகமான தளத்திலிருந்து இருந்தது போல** இயங்குகிறது — தாக்குபவர்கள் அமர்வு குக்கீ/டோக்கன்களைத் திருட, கணக்குகளை கடத்த, விசை முத்திரைகளைப் பிடிக்க, அல்லது பயனர் செயல்களை செய்ய முடியும். ## XSS வகைகள் ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## தடுப்பு ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## ஏன் இது முக்கியமாக இருக்கிறது XSS மற்றும் அதை எப்படி தடுக்கலாம் என்பதை புரிந்துகொள்வது அவசியமாக இருக்கிறது, ஏனெனில் இது ஒரு **பொதுவான, ஆபத்தான வலைப் பாதுகாப்பு குறைபாடு** ஆகும், இது தாக்குபவர்களை பயனர்களின் உலாவிகளில் தீங்கிழைக்கும் சிறிய நிரல்களை இயக்க அனுமதிக்கிறது, எனவே இது வலைப் உபயোகளாளர்களுக்கு அத்যாவசியமான பாதுகாப்பு அறிவாக இருக்கிறது. **இது எப்படி வேலை செய்கிறது** என்பதைப் புரிந்துகொள்வது — சரியான தப்பொழிப்பு இல்லாமல் பயனர் உள்ளீட்டை ஒரு பக்கத்தில் வழங்குவது செலுத்தப்பட்ட **JavaScript ஐ மற்ற பயனர்களின் உலாவிகளில் நம்பகமான தளத்தின் சூழலில் இயக்க அனுமதிக்கிறது**, தாக்குபவர்களை அமர்வு குக்கீ மற்றும் டோக்கன்களைத் திருட, கணக்குகளை கடத்த, பயனர் செயல்கள் செய்ய இயக்குகிறது — இது அவசியமாக இருக்கிறது. XSS ஆபத்தாக இருக்கிறது, ஏனெனில் இது பயனர்களின் அமர்வு மற்றும் தரவை சமரசம் செய்கிறது, மற்றும் இது பயனர் உற்பத்தி செய்த உள்ளடக்கத்தைக் காட்டும் வலைப் பயன்பாடுகளில் பொதுவாக இருக்கிறது. **வகைகளை** புரிந்துகொள்வது (சேமிக்கப்பட்ட XSS — தீங்கிழைக்கும் சிறிய நிரல்கள் சேவையகத்தில் சேமிக்கப்பட்டு அனைத்து பார்வையாளர்களுக்கும் வழங்கப்படுகிறது, மிகவும் ஆபத்தாக; பிரதிபலித்த XSS — ஒரு கோரிக்கையிலிருந்து பிரதிபலித்த சிறிய நிரல்கள்; DOM-அடிப்படையிலான XSS — கிளையன்ட்-பக்க பாதுரக்ஷிত இல்லாத DOM கையாளுதல்) வெவ்வேறு தாக்குதல் திசைகளை அடையாளம் காண உதவுகிறது. **தடுப்பை** புரிந்துகொள்வது அவசியமாக இருக்கிறது: **வெளியீட்டு தப்பொழிப்பு/குறியாக்கம்** (பயனர் தரவை உரையாக வழங்குவது, HTML அல்ல — முக்கிய பாதுகாப்பு, நவீன கட்டமைப்புகள் போன்ற React சரியாக பயன்படுத்தும்போது தானாக செய்கிறது), **ஆபத்தான APIs ஐ தவிர்ப்பது** (innerHTML, dangerouslySetInnerHTML, நம்பகத் தரவு இல்லாத eval — பொதுவான XSS மூலங்கள்), **HTML சுத்திகரணம்** செழுமையான உள்ளடக்கம் அனுமதிக்க வேண்டியிருக்கும்போது (எ.கா. DOMPurify), **Content Security Policy** (சிறிய நிரல் செயல்பாட்டை கட்டுப்படுத்துவது பாதுகாப்பு-ஆழத்தில் ), மற்றும் **HttpOnly cookies** (JS அவற்றைப் படிக்க தடுப்பது). கட்டமைப்புகள் தானாக தப்பொழிப்பு செய்யும் என்பதைப் புரிந்துகொள்வது (எனவே அவற்றை சரியாக பயன்படுத்துவது பெரும்பாலான XSS ஐ தடுக்கிறது, அதே நேரத்தில் அவற்றின் தப்பொழிப்பை இணைக்காமல் வெளியிடுவது அதை மீண்டும் அறிமுகம் செய்கிறது) நடைமுறை ரீதியில் முக்கியமாக இருக்கிறது. XSS ஒரு பொதுவான, ஆபத்தான குறைபாடு பயனர்களின் அமர்வு மற்றும் தரவை சமரசம் செய்கிறது, குறிப்பாக பயனர் உள்ளடக்கத்தைக் காட்டும் பயன்பாடுகளில், மற்றும் அது எப்படி வேலை செய்கிறது மற்றும் அதை எப்படி தடுக்கலாம் (வெளியீட்டு தப்பொழிப்பு, ஆபத்தான APIs ஐ தவிர்ப்பது, CSP, கட்டமைப்பு முறைவழிகள்) புரிந்துகொள்வது அவசியமாக இருக்கிறது, எனவே XSS மற்றும் அதன் தடுப்பைப் புரிந்துகொள்வது அவசியமாக, அவசியம் கற்க வேண்டிய பாதுகாப்பு அறிவு — ஒரு அடிப்படை வலைப் பாதுகாப்பு குறைபாடு இதை எதிர்த்து பாதுகாக்க வேண்டியது, சரியான வெளியீட்டு கையாளுதல் (தப்பொழிப்பு, கட்டமைப்பு முறைவழிகளைப் பயன்படுத்துவது, ஆபத்தான APIs ஐ தவிர்ப்பது) பயனர்களைப் பாதுகாக்க விரிவான தாக்குதல்களிலிருந்து தெரிந்து கொள்ள வேண்டிய முக்கியமான அறிவாக இருக்கிறது.