ต่อจาก CSRF ปัญหาความปลอดภัยในเว็บที่พบได้มาก แต่ปัญหาอีกอย่างหนึ่งที่พบได้และมักมีอันตรายมากกว่ าคือปัญหาความปลอดภัย Cross Site Scripting (XSS หรือบางครั้งเรียกว่า CSS) ที่เป็นช่องให้แฮกเกอร์สามารถนำสคริปต์อยากที่แฮกเกอ ร์ต้องการไปวางบนหน้าเว็บเป้าหมายได้
ปัญหา XSS เกิดจากเมื่อเว็บรับข้อมูลจากผู้ใช้โดยไม่มีการกรองส คริปต์ออกจากอินพุตของผู้ใช้ก่อน ไม่ว่าจะเป็นการรับผ่านยูอาร์แอล หรือจะรับผ่านแบบฟอร์มต่างๆ
การรันสคริปต์ได้ทำให้ทำให้แฮกเกอร์สามารถขโมยข้อมูล ที่ควรเป็นความลับของผู้ใช้ เช่น คุกกี้ที่เป็นความลับสำหรับการล็อกอิน ตัวอย่างเช่นการวางคอมเมนต์ในเว็บๆ หนึ่ง หากผู้ใช้สามารวางสคริปต์

ตัวอย่างเช่นนี้ (ตัวอย่างในกรณีที่ใช้ jquery) ทำให้แฮกเกอร์ที่สร้างเซิร์ฟเวอร์เพื่อรับ request รูปภาพที่เบราว์เซอร์ของเหยื่อส่งออกไป โดยส่งข้อมูลคุกกี้ทั้งหมดออกไปด้วย
การป้องกัน

การป้องกันปัญหาความปลอดภัย XSS อาศัยการกรองอินพุตจากผู้ใช้เป็นหลัก โดยอินพุตต่างๆ ไม่ควรถูกนำมาใช้งานในทันที แต่ต้องมีการกรองก่อนทุกครั้ง และต้องมั่นใจได้ว่าผู้ใช้ไม่สามารถวางสคริปต์ใดๆ ลงในเว็บได้
ค่าความปลอดภัยเริ่มต้นของ CMS หลายตัวมักตั้งค่าความปลอดภัยสำหรับ XSS ไว้เป็นอย่างดีแล้ว ตัวอย่างในกรณีของ Drupal นั้นจะกำหนด filtered HTML สำหรับผู้ใช้ทั่วไป และ full HTML สำหรับผู้ใช้ที่วางใจได้เท่านั้น โดย filtered HTML จะปิดไม่ให้ผู้ใช้สามารถวางสคริปต์ใดๆ ลงในแบบฟอร์มได้ หรือหากวางได้ก็จะแสดงผลเป็นโค้ดไปยังหน้าเว็บ ไม่ได้เป็นสคริปต์ที่รันได้ ซึ่งการกรองเหล่านนี้ไม่ใช่เพียงแท็ก script เท่านั้นแต่รวมไปถึง attribute หลายตัว เช่น onload, onclick รวมเป็น Event Handler ทั้งหมด 94 กรณี และ CSS ในบางกรณีอีกด้วย (ดูรายการตรวจสอบ XSS ได้ใน OWASP)
ระบบป้องกันจำพวก Intrusion Detection System (IDS) หลายตัวมีความสามารถในการตรวจจับว่าผู้ใช้พยายามโพสส คริปต์เข้ามายังเว็บหรือไม่ ทำให้สามารถแจ้งเตือนได้แต่เนิ่นๆ ว่ามีความพยายามทดสอบว่าเว็บมีการรักษาความปลอดภัยที ่ดี
ทุกวันนี้การวางข้อมูลจากเว็บอื่นๆ เช่น กรณีของ YouTube นั้นได้รับความนิยมเป็นอย่างมาก นักพัฒนาต้องระวังว่าการเปิดเว็บให้รองรับการวางข้อม ูลเหล่านี้ไม่ใช่เรื่องสำคัญที่สุด บางเว็บเช่น Twitter กลับพยายามให้ผู้ใช้ปล่อยให้ใช้แท็ก script เพื่อจะแสดงผลได้ถูกต้อง กรณีแบบนี้ควรระวังที่จะไม่ยอมรับการแสดงผลแบบนี้หรื อหากยอมรับก็ต้องมีการกรองเพิ่มเติมอย่างระมัดระวัง
ในฝั่งเบราว์เซอร์เอง เบราว์เซอร์ยุคใหม่ล้วนมีความสามรถในการวิเคราะห์โค้ ดที่มีความพยายามโจมตีด้วย XSS กันมากขึ้นเรื่อยๆ เช่น การฝังสคริปต์ไว้ในยูอาร์แอล แต่ความสามารถเหล่านี้ก็ยังจำกัดอยู่มาก ความรับผิดชอบจึงตกกับนักพัฒนาเว็บเป็นหลัก
XSS และ CSRF เป็นปัญหาความปลอดภัยสำคัญที่เป็นความรับผิดชอบของนั กพัฒนาเว็บโดยตรงที่จะป้องกันปัญหาเปล่านี้ ความระมัดระวังในทุกๆ อินพุตเป็นสิ่งสำคัญมาก เมื่อเรากำลังให้บริการทั้งโลกที่ไม่แน่ใจว่ามีใครพย ายามทำอะไรอยู่บ้าง
นักพัฒนาที่ยังไม่คุ้นชินกับการพัฒนาเว็บเช่นนี้ ควรเรียนรู้บทเรียนที่นักพัฒนารุ่นก่อนล้วนได้ประสบเ จอกันมาก่อนแล้ว เฟรมเวิร์คและ CMS สำหรับการพัฒนาเว็บทั้งหลายล้วนเป็นผลของการสะสมประส บการณ์เหล่านี้เป็นอย่างดี อย่างเช่น Django หรือ CodeIgnitor ผมยังคงย้ำว่าในยุคนี้หากไม่ใช่ผู้เชี่ยวชาญเฉพาะทาง แล้ว เราไม่ควรพัฒนาเว็บจากการเขียน php บรรทัดแรกด้วยตัวเองเหมือนแต่เดิมอีกต่อไป


อ่านต่อ...