Cross-Site Scripting (XSS) là một lỗ hổng trong đó kẻ tấn công chèn JavaScript độc hại vào một trang web mà người dùng khác xem — chạy trong trình duyệt của họ để đánh cắp dữ liệu, chiếm session, hoặc thực hiện hành động thay họ. Đây là một lỗ hổng web phổ biến, nguy hiểm, có thể phòng ngừa bằng cách xử lý đầu ra phù hợp.
Khi đầu vào người dùng được render vào trang mà KHÔNG escape đúng cách, SCRIPT bị chèn sẽ chạy:
Welcome, <%= userInput %>
Script bị chèn chạy trong trình duyệt nạn nhân như thể đến từ site đáng tin cậy — cho phép kẻ tấn công đánh cắp session cookies/tokens, chiếm tài khoản, ghi lại phím gõ, hoặc thực hiện hành động thay người dùng.
STORED → script độc hại được LƯU trên server (ví dụ trong một comment) → phục vụ cho mọi người xem
REFLECTED → script trong một request (ví dụ một tham số URL) được phản chiếu lại trong response
DOM-based → JS phía client đặt dữ liệu không tin cậy vào DOM một cách không an toàn
✓ ESCAPE/ENCODE đầu ra → render dữ liệu người dùng như TEXT, không phải HTML (biện pháp chính):
→ các framework (React, Angular, Vue) tự động escape mặc định → dùng chúng đúng cách
→ escape theo ngữ cảnh (HTML, attribute, JS, URL)
✓ TRÁNH các API nguy hiểm → innerHTML, dangerouslySetInnerHTML, eval với dữ liệu không tin cậy
✓ SANITIZE HTML nếu buộc phải cho phép (ví dụ DOMPurify cho rich text)
✓ Content Security Policy (CSP) → giới hạn script nào có thể chạy (defense in depth)
✓ HttpOnly cookies → JS không đọc được chúng (giới hạn việc đánh cắp cookie qua XSS)
Hiểu XSS và cách phòng ngừa nó là thiết yếu vì đó là một lỗ hổng web phổ biến, nguy hiểm cho phép kẻ tấn công chạy script độc hại trong trình duyệt của người dùng, nên đó là kiến thức bảo mật phải biết đối với lập trình viên web.
Hiểu cách nó hoạt động — rằng việc render đầu vào người dùng vào trang mà không escape đúng cách cho phép JavaScript bị chèn chạy trong trình duyệt của người dùng khác trong ngữ cảnh của site đáng tin cậy, cho phép kẻ tấn công đánh cắp session cookies và tokens, chiếm tài khoản, và hành động thay người dùng — là cần thiết để nhận ra và phòng ngừa lỗ hổng.
XSS nguy hiểm vì nó làm tổn hại session và dữ liệu của người dùng, và nó phổ biến trong các web app hiển thị nội dung do người dùng tạo.
Hiểu các loại (stored XSS — script độc hại được lưu trên server và phục vụ cho mọi người xem, loại nguy hiểm nhất; reflected XSS — script được phản chiếu từ một request; DOM-based XSS — thao túng DOM phía client không an toàn) giúp nhận ra các vector tấn công khác nhau.
Hiểu cách phòng ngừa là thiết yếu: escape/encode đầu ra (render dữ liệu người dùng như text, không phải HTML — biện pháp chính, mà các framework hiện đại như React thực hiện tự động theo mặc định khi dùng đúng cách), tránh các API nguy hiểm (innerHTML, dangerouslySetInnerHTML, eval với dữ liệu không tin cậy — các nguồn XSS phổ biến), sanitize HTML khi buộc phải cho phép nội dung phong phú (ví dụ DOMPurify), Content Security Policy (giới hạn việc thực thi script như defense-in-depth), và HttpOnly cookies (ngăn JS đọc chúng).
Hiểu rằng các framework tự động escape (nên dùng chúng đúng cách phòng ngừa hầu hết XSS, trong khi bỏ qua escape của chúng lại tạo ra XSS) là quan trọng về mặt thực hành.
Vì XSS là một lỗ hổng phổ biến, nguy hiểm làm tổn hại session và dữ liệu của người dùng, đặc biệt trong các ứng dụng hiển thị nội dung người dùng, và vì hiểu cách nó hoạt động và cách phòng ngừa (escape đầu ra, tránh các API nguy hiểm, CSP, mặc định của framework) là thiết yếu cho lập trình viên web, nên hiểu XSS và cách phòng ngừa nó là kiến thức bảo mật thiết yếu, phải biết — một lỗ hổng web cơ bản cần phòng thủ, nơi việc xử lý đầu ra phù hợp (escape, dùng mặc định của framework, tránh các API nguy hiểm) là kiến thức then chốt để bảo vệ người dùng khỏi một nhóm tấn công phổ biến.