Cross-site scripting
Uit Wikipedia, de vrije encyclopedia
Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd.
In het begin werd het acroniem CSS gebruikt om cross-site scripting aan te duiden. Om verwarring te voorkomen met Cascading Style Sheets en Content Scramble System werd snel hierna de afkorting XSS gebruikt waarbij de X staat voor cross (Engelse woord voor kruis).
Vaak wordt cross-site scripting gebruikt in combinatie met Phishing[bron?], waarbij de eindgebruiker wordt verleid om op een met XSS geprepareerde link in een e-mailbericht te klikken. Zodra deze persoon op de link klikt wordt de XSS aanval uitgevoerd.