Cross-Site Scripting (XSS) nedir ve bunu nasıl önlersiniz?

Question

Accepted Answer

**Cross-Site Scripting (XSS)**, bir saldırganın kötü amaçlı **JavaScript** kodunu diğer kullanıcılar tarafından görüntülenen bir web sayfasına enjekte ettiği bir güvenlik açığıdır — kullanıcıların tarayıcılarında çalışarak veri çalmak, oturumları ele geçirmek veya onlar adına işlem gerçekleştirmek için kullanılır. Yaygın ve tehlikeli bir web güvenlik açığıdır ve uygun çıktı işleme ile önlenebilir. ## XSS nasıl çalışır ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` Enjekte edilen script, kurbanların tarayıcılarında **güvenilen siteden geliyormuş gibi** çalışır — saldırganların oturum çerezlerini/tokenlarını çalmalarını, hesapları ele geçirmelerini, tuş vuruşlarını yakalamalarını veya kullanıcı olarak işlem gerçekleştirmelerini sağlar. ## XSS türleri ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## Önleme ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## Neden önemli XSS'i ve bunu nasıl önleyeceğinizi anlamak gereklidir çünkü bu **yaygın, tehlikeli bir web güvenlik açığıdır** ve saldırganların kullanıcıların tarayıcılarında kötü amaçlı script'ler çalıştırmasını sağlar, bu nedenle web geliştiricileri için bilinmesi gereken kritik güvenlik bilgisidir. **Nasıl çalıştığını** anlamak — kullanıcı girdisini uygun kaçış (escaping) olmadan sayfaya render etmenin injekte edilen **JavaScript'in diğer kullanıcıların tarayıcılarında güvenilen sitenin bağlamında çalışmasını** sağladığını, saldırganların oturum çerezleri ve tokenları çalmalarını, hesapları ele geçirmelerini ve kullanıcı olarak hareket etmelerini mümkün kıldığını anlamak — güvenlik açığını tanımak ve önlemek için gereklidir. XSS tehlikelidir çünkü kullanıcıların oturumlarını ve verilerini tehlikeye atar ve kullanıcı tarafından oluşturulan içeriği görüntüleyen web uygulamalarında yaygındır. **Türlerini** anlamak (saklı XSS — sunucuya kaydedilen ve tüm görüntüleyicilere sunulan kötü amaçlı script'ler, en tehlikeli olanı; yansıtılmış XSS — bir istekten yansıtılan script'ler; DOM tabanlı XSS — istemci tarafı güvensiz DOM manipülasyonu) farklı saldırı vektörlerini tanımaya yardımcı olur. **Önleme** yöntemlerini anlamak gereklidir: **çıktıyı kaçış/kodlama** (kullanıcı verilerini metin olarak render etme, HTML değil — ana savunma, React gibi modern framework'ler doğru kullanıldığında bunu otomatik olarak yapar), **tehlikeli API'lerden kaçınma** (innerHTML, dangerouslySetInnerHTML, güvenilmeyen verilerle eval — yaygın XSS kaynakları), **HTML sanitizasyon** (zengin içeriğe izin verilmesi gerektiğinde, örneğin DOMPurify), **Content Security Policy** (script yürütülmesini kısıtlama, savunmada katman ekleme) ve **HttpOnly çerezler** (JS'in bunları okumasını engelleme). Framework'lerin otomatik kaçış yaptığını (bu nedenle onları doğru kullanmak çoğu XSS'i önler, kaçışını atlamak ise bunu yeniden getirir) anlamak pratik olarak önemlidir. XSS yaygın, tehlikeli bir güvenlik açığı olduğundan (özellikle kullanıcı içeriği görüntüleyen uygulamalarda) ve kullanıcıların oturumlarını ve verilerini tehlikeye attığından, ve nasıl çalıştığını ve nasıl önleyeceğinizi anlamak (çıktı kaçması, tehlikeli API'lerden kaçınma, CSP, framework varsayılanları) web geliştiricileri için gerekli olduğundan, XSS'i ve önlemesini anlamak gereklidir — savunması gereken temel bir web güvenlik açığıdır, burada uygun çıktı işleme (kaçış, framework varsayılanlarını kullanma, tehlikeli API'lerden kaçınma) kullanıcıları yaygın bir saldırı sınıfından korumak için kritik bilgidir.