Cross-Site Scripting (XSS) Nedir? Web Güvenliğinde Bir Tehdit ve Korunma Yöntemleri

10.04.2025
BFS
Cross-Site Scripting, güvenlik açıkları, hacker, siber güvenlik, web geliştirme, Web Güvenliği, web saldırıları, XSS
Cross-Site Scripting (XSS) Nedir? Web Güvenliğinde Bir Tehdit ve Korunma Yöntemleri

XSS, web güvenliğinde kritik bir tehdit olup, doğru güvenlik önlemleri alındığında engellenebilir. Bu yazıda XSS saldırı türleri, korunma yöntemleri ve örnek kodlarla bu tehditten nasıl korunabileceğiniz anlatılmıştır.

BFS

Web geliştirme dünyasında, her geliştiricinin karşılaştığı zorluklardan biri güvenliktir. Birçok farklı güvenlik açığı arasında, Cross-Site Scripting (XSS), kullanıcıların karşılaştığı en tehlikeli saldırılardan biridir. Web sitenizi ya da uygulamanızı geliştirirken bu tür güvenlik açıklarını göz ardı etmek, hacker’ların oyun alanı yaratmasına neden olabilir. Peki, XSS nedir ve nasıl korunabiliriz? Gelin, bunu birlikte keşfedelim.

XSS Nedir?
Cross-Site Scripting (XSS), bir web uygulamasındaki güvenlik açığından yararlanan kötü niyetli bir saldırıdır. Hacker, web sayfasındaki form alanlarına zararlı JavaScript kodları yerleştirerek, diğer kullanıcıların tarayıcılarında kötü niyetli işlemler gerçekleştirebilir. Bu tür saldırılar, kullanıcının bilgilerini çalmak, oturum açma bilgilerini ele geçirmek ya da kötü amaçlı yazılımlar yüklemek için kullanılabilir.

XSS saldırıları genellikle üç şekilde gerçekleşir: Stored XSS, Reflected XSS ve DOM-based XSS. Her biri farklı tekniklerle çalışsa da hepsinin amacı aynıdır: Kullanıcıların güvenliğini tehlikeye atmak.

# 1. Stored XSS
Stored XSS, saldırganın zararlı JavaScript kodunu, web sunucusuna yerleştirdiği bir form veya giriş alanı üzerinden kaydettiği bir saldırı türüdür. Bu kod daha sonra başka bir kullanıcı tarafından ziyaret edilen sayfada çalıştırılır. Yani, saldırı kalıcıdır.

#### 2. Reflected XSS
Reflected XSS, zararlı kodun, kullanıcı tarafından sağlanan bir girişle hemen yansıdığı bir saldırıdır. Örneğin, kullanıcı bir URL’ye zararlı kod içeren bir bağlantı tıklarsa, bu kod tarayıcıda çalışabilir.

# 3. DOM-based XSS
DOM-based XSS, saldırganın, tarayıcıdaki Document Object Model (DOM) üzerinde yaptığı değişikliklerle gerçekleştirdiği bir saldırıdır. Bu saldırı türü, sunucudan bağımsız olarak, yalnızca istemci tarafında meydana gelir.

### XSS'ye Karşı Korunma Yöntemleri
XSS saldırılarından korunmak için birkaç basit ancak etkili yöntem bulunmaktadır. Gelin, bunları adım adım inceleyelim:

# 1. Girdi Doğrulama ve Filtreleme
XSS saldırılarının temelinde kötü niyetli kullanıcıların, sayfaya zararlı JavaScript kodları yerleştirmesidir. Bu nedenle, her zaman kullanıcıdan alınan girdileri doğrulamak önemlidir. Kullanıcıların girdiği verileri beyaz liste (whitelist) yöntemiyle filtreleyerek yalnızca güvenli içeriklerin kabul edilmesini sağlayabilirsiniz.

Örneğin, HTML etiketlerine izin vermek zorundaysanız, yalnızca güvenli etiketleri ve nitelikleri kabul edin.

```html

if (input.contains("