Cross-Site Scripting (XSS) ایک vulnerability ہے جہاں ایک حملہ آور نقصان دہ JavaScript کو ایک ویب پیج میں inject کرتا ہے جو دوسری users دیکھتے ہیں — یہ ان کے browsers میں چلتا ہے تاکہ ڈیٹا چوری ہو، سیشن کو ہائی جیک کیا جائے، یا ان کی طرف سے کارروائیاں کی جائیں۔ یہ ایک عام، خطرناک ویب vulnerability ہے، صحیح output handling سے روکا جا سکتا ہے۔
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
Injected script victims کے browsers میں چلتا ہے گویا trusted site سے — attackers کو session cookies/tokens چوری کرنے، accounts کو ہائی جیک کرنے، keystrokes کو capture کرنے، یا user کی طرف سے کارروائیاں کرنے دیتا ہے۔
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
XSS کو سمجھنا اور اس سے بچاؤ کرنا ضروری ہے کیونکہ یہ ایک عام، خطرناک ویب vulnerability ہے جو attackers کو users کے browsers میں نقصان دہ scripts چلانے دیتی ہے، اس لیے یہ ویب developers کے لیے لازمی سیکیورٹی knowledge ہے۔
یہ سمجھنا کہ یہ کیسے کام کرتا ہے — کہ user input کو صحیح escaping کے بغیر ایک page میں render کرنا injected JavaScript کو دوسری users کے browsers میں trusted site کے context میں چلانے دیتا ہے، جو attackers کو session cookies اور tokens چوری کرنے، accounts کو ہائی جیک کرنے، اور user کی طرح کام کرنے کے قابل بناتا ہے — vulnerability کو پہچاننے اور روکنے کے لیے ضروری ہے۔
XSS خطرناک ہے کیونکہ یہ users کے سیشنز اور ڈیٹا کو سمجھتا ہے، اور یہ ویب apps میں عام ہے جو user-generated content دکھاتے ہیں۔
اقسام کو سمجھنا (stored XSS — نقصان دہ scripts server پر save ہوتے ہیں اور تمام viewers کو serve کیے جاتے ہیں، سب سے خطرناک؛ reflected XSS — scripts ایک request سے reflect ہوتے ہیں؛ DOM-based XSS — client-side unsafe DOM manipulation) مختلف attack vectors کو پہچاننے میں مدد کرتا ہے۔
بچاؤ کو سمجھنا ضروری ہے: escaping/encoding output (user data کو text کے طور پر render کرنا، HTML نہیں — اہم دفاع، جو modern frameworks جیسے React خودکار طور پر default میں کرتے ہیں جب صحیح طریقے سے استعمال ہوں)، خطرناک APIs سے بچنا (innerHTML، dangerouslySetInnerHTML، untrusted data کے ساتھ eval — عام XSS sources)، HTML sanitize کرنا جب rich content کی اجازت ہو (مثال کے طور پر DOMPurify)، Content Security Policy (script execution کو محدود کرنا defense-in-depth کے طور پر)، اور HttpOnly cookies (JS کو انہیں پڑھنے سے روکنا)۔
یہ سمجھنا کہ frameworks خود escaping کرتے ہیں (تو انہیں صحیح طریقے سے استعمال کرنا زیادہ تر XSS کو روکتا ہے، جبکہ ان کی escaping کو bypass کرنا یہ دوبارہ متعارف کراتا ہے) عملی لحاظ سے اہم ہے۔
چونکہ XSS ایک عام، خطرناک vulnerability ہے جو users کے سیشنز اور ڈیٹا کو سمجھتا ہے، خاص طور پر apps میں جو user content دکھاتے ہیں، اور چونکہ یہ سمجھنا کہ یہ کیسے کام کرتا ہے اور اس سے کیسے بچاؤ کریں (output escaping، خطرناک APIs سے بچنا، CSP، framework defaults) ویب developers کے لیے ضروری ہے، XSS اور اس کے بچاؤ کو سمجھنا ضروری، لازمی سیکیورٹی knowledge ہے — ایک بنیادی ویب vulnerability جس سے دفاع کرنا ہے، جہاں صحیح output handling (escaping، framework defaults استعمال کرنا، خطرناک APIs سے بچنا) users کو ایک وسیع پیمانے پر attacks سے بچانے کے لیے اہم knowledge ہے۔