Salt la conținut
Securitate Web

Ce este XSS (Cross-Site Scripting)?

Atac in care codul malitios este injectat in paginile web

Definiție XSS (Cross-Site Scripting)

XSS (Cross-Site Scripting) este un atac in care un atacator reuseste sa injecteze cod JavaScript malitios intr-o pagina web. Cand alt utilizator viziteaza pagina, codul se executa in browserul lui, putand fura sesiuni, date personale sau redirectiona catre site-uri false. Protectia: CSP, sanitizarea inputului, HttpOnly cookies.

De ce contează XSS (Cross-Site Scripting)

Cross-Site Scripting permite atacatorilor sa injecteze cod JavaScript in paginile vizualizate de alti utilizatori, oferind control complet asupra sesiunii victimei. Atacatorul poate fura cookie-uri de sesiune, redirectiona catre pagini de phishing sau modifica continutul paginii — OWASP plaseaza XSS constant in top 10 vulnerabilitati web.

Cum verifici XSS (Cross-Site Scripting)

SoftAudit testeaza formularele si parametrii URL ai site-ului cu payload-uri XSS tipice si verifica daca inputul utilizatorului este reflectat fara sanitizare in raspunsul HTML. Analizeaza si politica CSP care poate limita impactul unui eventual XSS.

Verifică securitatea site-ului →

Greșeli frecvente

Sanitizarea doar pe client-side (JavaScript) este inutila — atacatorul poate trimite cereri direct catre server ocolind orice validare din browser. O greseala frecventa in PHP este folosirea htmlspecialchars() fara parametrul ENT_QUOTES, lasand atributele HTML vulnerabile prin ghilimele simple.

Bune practici

Aplica output encoding specific contextului: HTML entity encoding pentru continut HTML, JavaScript encoding pentru date inserate in scripturi si URL encoding pentru parametri. Complementeaza cu o politica CSP stricta fara unsafe-inline si foloseste framework-uri care auto-encodeaza outputul precum React sau Angular.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica xss (cross-site scripting) pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este XSS (Cross-Site Scripting)?

XSS (Cross-Site Scripting) este un atac in care un atacator reuseste sa injecteze cod JavaScript malitios intr-o pagina web. Cand alt utilizator viziteaza pagina, codul se executa in browserul lui, putand fura sesiuni, date personale sau redirectiona catre site-uri false. Protectia: CSP, sanitizarea inputului, HttpOnly cookies.

De ce este important XSS (Cross-Site Scripting) pentru un website?

Cross-Site Scripting permite atacatorilor sa injecteze cod JavaScript in paginile vizualizate de alti utilizatori, oferind control complet asupra sesiunii victimei. Atacatorul poate fura cookie-uri de sesiune, redirectiona catre pagini de phishing sau modifica continutul paginii — OWASP plaseaza XSS constant in top 10 vulnerabilitati web.

Termeni asociați

Înapoi la glosarul complet