Web vezme text z odkazu nebo formuláře a vypíše ho rovnou zpět do stránky, aniž by ho očistil. Útočník do odkazu schová kód.

/search?q=<script>steal(document.cookie)</script>

Skript běží, jako by patřil webu — umí ukrást session oběti nebo jednat jejím jménem.

Škodlivý kód se uloží na server (komentář, profil) a spustí se každému, kdo stránku otevře. Žádný odkaz není potřeba.

<img src=x onerror="steal(document.cookie)">

Jeden otrávený záznam zasáhne automaticky všechny návštěvníky. Nejnebezpečnější XSS.

Chyba je čistě v JavaScriptu stránky: vezme data z URL (např. za #) a vloží je nebezpečně. Server je nevidí.

// #<img src=x onerror=run()>
el.innerHTML = location.hash

Nebezpečný obsah si sestaví sám prohlížeč — serverové filtry ho nezachytí.

Všechny objekty v JS sdílejí společnou „šablonu“. Zápis přes __proto__ ji změní pro VŠECHNY objekty naráz.

{"__proto__":{"isAdmin":true}}

Jediný podvržený JSON může zapnout skrytá oprávnění nebo navázat na XSS.

Čistička HTML kód „vyčistí“, jenže prohlížeč si značky po svém přeparsuje zpět na něco nebezpečného.

<noscript><p title="</noscript><img src=x onerror=run()>">

Filtr vidí neškodný text, prohlížeč ho zmutuje na živý skript. Obejde naivní sanitizéry.

Web poskládá adresu API z uživatelského vstupu. Útočník vloží ../ a zamíří požadavek na citlivý endpoint.

GET /api/profile/..%2f..%2fadmin%2fdelete

Prohlížeč oběti sám odešle přihlášený požadavek, který si vybral útočník (např. smazání).

Frameworky (Angular, Vue) vyhodnocují výrazy v {{ }}. Vstup uvnitř šablony se spustí.

{{constructor.constructor("run()")()}}

{{7*7}} vrátí 49 — důkaz, že šablona spouští vstup. Odtud krok ke spuštění kódu.

Okna a iframy si píší přes postMessage. Když příjemce neověří odesílatele (origin), uvěří i útočníkovi.

target.postMessage("setToken=eyJ...", "*")

Škodlivá stránka pošle data, která web slepě přijme — krádež tokenu, injektáž do DOM.

Pojmenování HTML prvku přes id/name přepíše stejnojmennou proměnnou v JS — bez jediného skriptu.

<a id=config href="//evil.site">  →  window.config

Funguje i tam, kde jsou skripty blokované; potichu přesměruje logiku webu.

Trusted Types blokuje nebezpečné zápisy do DOM. Špatně nastavená politika se ale dá obejít.

trustedTypes.createPolicy('default', s => s)

„Ochrana“ propustí vstup útočníka rovnou do nebezpečného místa a DOM XSS se otevře znovu.

CSP má blokovat vložené skripty. Slabé direktivy (unsafe-inline, zástupné domény) ho ale propustí.

script-src 'unsafe-inline'  →  <script>run()</script>

Politika vypadá, že tam je, ale díry v ní nechají injektáž přesto proběhnout.

Není to třída zranitelnosti, ale schopnost: scanner drží krok s aktuálními CVE pro populární knihovny.

feed: DOMPurify CVE-2025-26791 · React Router CVE-2025-43865

Testuje i na čerstvé, reálně nahlášené chyby — ne jen na učebnicové příklady.