Cross-Site Scripting entsteht, wenn Daten, die eine Anwendung anzeigen wollte, vom Browser als ausführbarer Inhalt interpretiert werden. Der Wert kann aus einem Formular, einer URL, Datenbank, API oder kompromittierten Abhängigkeit stammen. Output-Encoding ist eine zentrale Verteidigung, funktioniert aber nur passend zum Zielkontext. HTML-Text, Attribute, JavaScript, CSS und URLs sprechen unterschiedliche Grammatiken.
Ein Dokument enthält mehrere Sprachen gleichzeitig
HTML kann Markup, Scripts, Styles und Navigationsziele enthalten. Ein Wert, der zwischen Tags sicher ist, kann in einer JavaScript-Zeichenfolge deren Quote schließen. Ein korrekt gequotetes href kann trotzdem ein gefährliches javascript:-Schema enthalten.
Framework-Auto-Escaping schützt gewöhnliche Interpolation. Raw HTML, innerHTML, Eventhandler und Stringkonkatenation umgehen diese Schutzschicht.
Escaping gehört an die letzte Ausgabengrenze
HTML-escaped Input in der Datenbank vermischt Präsentation und Daten. Derselbe Wert kann später in JSON, CSV oder Plain-Text-Mail erscheinen und dort sichtbare Entities erzeugen. Die kanonische Form sollte semantischer Text bleiben.
Der Renderer kennt den Zielkontext und wählt den passenden Encoder. Templates escapen standardmäßig; Raw-Ausgabe erfordert einen expliziten vertrauenswürdigen Markup-Typ.
Gefährliche Kontexte lassen sich oft vermeiden
Untrusted Data muss nicht direkt in Inline-Script, Style oder Eventattribute gelangen. Strukturierte JSON-Daten, sichere Data Attributes und DOM-APIs halten Code und Inhalt getrennt. Für Text ist textContent geeigneter als innerHTML.
Eine Architektur, die keine Parsergrenze überschreitet, ist robuster als immer komplexeres Escaping. Sichere APIs machen die beabsichtigte Operation sichtbar.
Erlaubtes Rich Text braucht einen Sanitizer
Kommentare oder CMS-Inhalte dürfen möglicherweise Absätze, Links und Hervorhebung enthalten. Dann würde vollständiges Escaping die Funktion entfernen. Ein gepflegter HTML-Sanitizer parst den Inhalt und erzwingt eine Allowlist für Elemente, Attribute und URL-Schemas.
Regex ist kein HTML-Sanitizer. Verschachtelung, fehlerhaftes Markup, SVG und Parser-Recovery bieten zu viele Wege, einen simplen Filter anders zu interpretieren als der Browser.
URLs brauchen Policy zusätzlich zum Attribute-Encoding
Das Escapen von Quotes hält einen Wert im Attribut, macht sein Ziel aber nicht vertrauenswürdig. Die Anwendung muss Schema, Host oder internen Pfad validieren. Ein Open Redirect kann syntaktisch perfektes HTML sein.
Zuerst wird die URL strukturell geparst und nach Navigationspolicy geprüft, anschließend für das Attribut escaped. Diese Kontrollen beantworten unterschiedliche Fragen.
Content Security Policy begrenzt Auswirkungen
Eine starke CSP kann unerwartete Scripts blockieren, Nonces für erlaubte Blöcke verlangen und Violation Reports erzeugen. Sie erschwert die Ausnutzung mancher Injection-Fehler und macht versteckte Inline-Scripts sichtbar.
CSP ist Defense in Depth. unsafe-inline, breite Host-Allowlisten oder Legacy-Ausnahmen schwächen die Wirkung. Korrektes Rendering und sichere DOM-Nutzung bleiben erforderlich.
Clientcode kann serverseitige Sicherheit wieder aufheben
Der Server kann eine Query korrekt als Text ausgeben, während JavaScript denselben Wert später liest und per innerHTML einsetzt. DOM-based XSS entsteht vollständig im Client. Reviews und Tests müssen deshalb Sinks nach dem initialen Rendering berücksichtigen.
Third-Party-Widgets können eigene unsichere DOM-Pfade mitbringen. Isolation durch Sandbox-Iframes, enge CSP und Updates reduzieren das Risiko, ersetzen aber keine Bewertung der Datenflüsse.
Stored XSS wartet auf privilegierte Nutzer
Ein Payload in Profil, Ticket oder Produktname kann Monate später in einem Adminpanel ausgeführt werden. Gespeicherte Daten werden dadurch nicht vertrauenswürdig. Jede Ausgabegrenze braucht weiterhin den richtigen Kontextschutz.
Interne Werkzeuge verdienen besondere Aufmerksamkeit, weil ihre Nutzer oft weitreichende Rechte besitzen. Logs und Security-Dashboards müssen untersuchte Payloads ebenfalls als Text anzeigen.
Frameworkmigrationen brauchen einen Sink-Audit
Template-Engines besitzen verschiedene Defaults und Raw-Helper. Bei einer Migration kann ein früherer Texttyp plötzlich als HTML erwartet werden oder umgekehrt. Vor dem Wechsel sollten Raw-Ausgaben, Sanitizer und direkte DOM-Sinks inventarisiert werden.
Regressionstests mit realen Payloads schützen gegen Double Encoding und XSS. Ein reiner visueller Happy-Path-Test reicht nicht.
Trusted Types kann große Frontends härten
Trusted Types beschränkt gefährliche DOM-Sinks auf Werte aus genehmigten Policies. Dadurch werden zufällige Stringübergaben an innerHTML sichtbar und Sanitization lässt sich zentralisieren.
Die Einführung verlangt eine Bestandsaufnahme und behebt nicht automatisch unsichere Policies. Als Architekturbarriere verhindert sie jedoch, dass neue Komponenten frei Code-fähige Strings erzeugen.
Sicherheitstelemetrie muss selbst sicher rendern
CSP Reports, Sanitizer-Ablehnungen und gefundene Payloads sind per Definition hostile Data. Ein Dashboard, das sie raw darstellt, verwandelt Incident Response in einen weiteren Angriffspfad.
Metriken können Sink, Regel und Request-ID erfassen, ohne den gesamten Inhalt in jedes System zu kopieren. Für forensische Speicherung gelten enge Zugriffs- und Aufbewahrungsregeln.
Browserbasierte Tests prüfen die echte Interpretation
Ein Stringtest, der nach <script> sucht, übersieht gebrochene Attribute, SVG und DOM-Mutationen. Eine gute Suite kombiniert Unit Tests für Encoder mit Browsertests, die Scriptausführung und endgültigen DOM beobachten.
Payloads aus realen Vorfällen gehören als dauerhafte Fixtures in die Tests. Sie dokumentieren die verletzte Grenze und schützen spätere Refactors.
Ein XSS-Vorfall endet nicht mit dem Löschen des Payloads
Die betroffene Ausgabegrenze muss korrigiert und in ähnlichen Komponenten gesucht werden. Bei Stored XSS ist zu prüfen, welche privilegierten Nutzer den Inhalt gesehen haben und ob Sessions, API-Schlüssel oder Konfigurationen kompromittiert sein könnten.
Historische Datensätze müssen nicht zwingend verändert werden, wenn korrektes Rendering sie sicher als Text behandelt. Eine ungezielte Bereinigung kann Beweise zerstören oder legitimen Inhalt verändern. Incident Response, Datenmigration und dauerhafte Codekorrektur sind getrennte Entscheidungen.
Die Grenze zwischen Daten und Code muss sichtbar bleiben
Kontextbezogenes Output-Encoding funktioniert, weil es diese Grenze beim Rendering erhält. Sanitization ist die kontrollierte Ausnahme für bewusst erlaubtes Markup, CSP eine zusätzliche Barriere.
XSS-Prävention ist daher weniger das Auswendiglernen einer Escape-Funktion als eine Architekturentscheidung: Daten bleiben in sicheren Typen und APIs, bis der genaue Zielkontext bekannt ist.