Cross-site Scripting merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Serangan ini memanfaatkan kerentanan pada aplikasi web berupa input dan output yang tidak di validasi atau dikodekan.
![]() |
| Cross-site Scripting (Xss) Attack |
Impact:
- Attacker dapat melakukan penyamaran sebagai client situs tersebut.
- Attacker dapat membaca data apa pun yang sudah diakses.
- Attacker dapat melakukan credential login pengguna.
- Attacker dapat melakukan kerusakan pada virtual situs web.
- Attacker dapat melakukan injection fungsionalitas trojan ke situs web.
Recommendation:
- Gunakan validasi dan pengkodean setiap input dari user. Selain itu juga harus menvalidasi output dari user input seperti command, posting.
- Menggunakan framework pada bahasa pemograman server site seperti strip_tags() pada html dan php, OWASP Java HTML Sanitizer Project pada java dan .net
- Gunakan anti-malware, internet security, dan latest update browser untuk mencegah berkunjung ke situs-situs yang telah terinfeksi cross site scripting.
- Gunakan fungsi htmlspecialchars() ini akan meng-encode semua Tag HTML dan spesial karakter atau dapat menambahkan filter dengan str_replace
- Gunakan Open Source Libraries mengenai pencegahan XSS attack seperti PHP AntiXSS, HTML Purifier, xssprotect, XSS HTML Filter.


1. Tidak semua pertanyaan dapat dijawab.
2. Komentar mengandung link akan otomatis terhapus.
3. Kode emoticon » :) :D :p :v :3 :x :| :cool: :sorry: :sip: :email: :bingung: