Voltar à listagem

VOCÊ NÃO SABE XSS (de verdade)
Profile picture

Junior Alves

Senior Developer

Foto: Unsplash

Atualizado: 2 de dezembro de 2025 às 08:55

Leitura: 5 minutos de leitura

Criado: 30 de novembro de 2025

VOCÊ NÃO SABE XSS (de verdade)

Pare de confiar cegamente no input do usuário e aprenda blindar seu código definitivamente contra essa vulnerabilidade clássica

Introdução

Olha, eu sou dev frontend há um bom tempo. Já vi frameworks nascerem e morrerem, vi o jQuery ser rei e vi o React dominar o mercado. Estamos na era da Inteligência Artificial, gerando código com o poder do pensamento (quase isso kkk), mas existe um "pesadelo" antigo que insiste em tirar o sono da gente: o Cross-Site Scripting, ou para os íntimos, XSS.

Sabe qual é a sensação de deixar um XSS passar em produção? É exatamente como trancar a porta blindada de um cofre com a tecnologia mais avançada do mundo, mas deixar um Post-it com a combinação colado na parede ao lado.

Bora entender de uma vez por todas o que é XSS. Afinal, como é que o navegador, essa peça de engenharia super complexa que roda nossos SPAs pesadíssimos, consegue ser enganado de forma tão... boba?

O navegador é "Ingênuo"

No fundo, o XSS acontece porque o navegador sofre de excesso de confiança. Ele é aquele amigo que acredita em tudo que contam para ele. Se o servidor mandou um código, ele executa. Ele não pergunta se aquele script veio do desenvolvedor ou de um hacker mal-intencionado.

A vulnerabilidade não é culpa do Chrome ou do Firefox; a culpa é nossa, da aplicação. É o pecado capital do desenvolvimento: aceitar dados de entrada sem lavar as mãos antes.

O XSS ocorre quando sua aplicação pega o que o usuário digitou (um comentário maroto, um nome de perfil, uma busca na URL) e cospe isso direto no HTML sem tratamento. O navegador olha para aquilo e pensa: "Ah, se veio do servidor, é legítimo!". E aí já era: executa o script malicioso achando que faz parte da sua feature incrível.

E aí vem o clássico alert('XSS'). Parece inofensivo, né? Quase uma piada interna. Mas é aí que o perigo mora. Esse alert é só o "Alô, mundo!" do invasor. É ele dizendo: "A porta está aberta, agora vou entrar".

O Impacto Real (Ou: por que você deveria se importar)

Ignorar um XSS porque o exemplo do alert() parece bobo é como ignorar uma rachadura na barragem porque "só está pingando". Quando o ataque funciona, o invasor ganha um superpoder: ele roda Javascript no navegador da vítima, como se fosse você.

Isso abre as portas do inferno para alguns cenários bem ruins:

  • O Sequestro de Sessão: Sua aplicação provavelmente usa cookies para manter o usuário logado. Um script injetado lê esse cookie e manda para o atacante. Pronto. Ele não precisa da sua senha; ele já é você para o sistema.
  • O Navegador Zumbi: Existem frameworks (como o BeEF) que usam XSS para "fisgar" o navegador. O atacante ganha um painel de controle remoto sobre a aba da vítima. É assustadoramente fácil.
  • Keylogging e Phishing: O script pode monitorar tudo o que é digitado (senhas, cartão de crédito) ou alterar a página dinamicamente para te jogar num site falso idêntico ao original.

Entendeu o problema? Agora, vamos para a parte que salva seu emprego: a defesa.

O mantra da defesa: Não confie em ninguém

A prevenção de XSS se resume a um único mandamento sagrado: Nunca, jamais, em hipótese alguma, confie no input do usuário.

Frameworks modernos (como React, Angular, Vue) já vêm com vacinas automáticas, mas a responsabilidade final é sua. A defesa real se apoia em dois pilares.

Validação (A primeira barreira)

Sabe aquela validação bonita que fazemos no Javascript para o campo ficar vermelho se o e-mail estiver errado? Aquilo é cosmético. É UX, não segurança. Qualquer um com o Postman ou o curl passa por cima disso.

A validação real acontece no servidor (backend). A lógica tem que ser implacável:

  • Esperava um número? Garanta que é um número.
  • Esperava um CEP? Tem que ter formato de CEP.
  • Defina limites. Ninguém tem um nome com 5.000 caracteres (a não ser que seja um ataque de buffer overflow, mas isso é papo para outro dia).

Codifique a Saída (Output Encoding)

Este é o pulo do gato. Mesmo validando, você não pode simplesmente jogar o dado na tela. Você precisa sanitizar ou codificar a saída.

Basicamente, você precisa dizer pro navegador: "Ei, navegador, isso aqui que o usuário digitou é TEXTO, tá? Não é para rodar como código!".

A gente faz isso transformando caracteres especiais em entidades HTML inofensivas:

// O navegador vê isso e apenas exibe o caractere, não o interpreta
<  ->  &lt;
>  ->  &gt;
"  ->  &quot;

A diferença na prática é salvar a pele do usuário:

  • Vulnerável: O navegador recebe <script>roubarCookie()</script> e executa.
  • Seguro (Codificado): O navegador recebe &lt;script&gt;roubarCookie()&lt;/script&gt; e apenas mostra o texto na tela. Nada acontece.

Conclusão

Frameworks e Firewalls (WAFs) são ótimos. Eles filtram grande partes dos problemas e facilitam nossa vida. Mas eles não são uma bala de prata.

Não delegue a segurança do seu código para uma ferramenta mágica. Ferramentas ajudam, mas não fazem milagres se a arquitetura for falha. Se você continuar confiando cegamente no input do usuário, nenhuma camada de abstração vai te salvar.

A segurança começa e termina com o código que você escreve. E aí, já sanitizou seus inputs hoje?

💡 Quer aprender mais sobre Next.js?

Confira meus cursos práticos e aprenda a criar aplicações profissionais do zero.

Ver Cursos

Curtiu? Compartilhe esse post:

Todos os direitos reseverdos © Junior Alves 2025