XSS, kurz für Cross Site Scripting, ermöglicht es einem Angreifer Browser-Code in die Seite einzubauen. Dadurch kann z.B. auf anderen Clients Javascript ausgeführt werden, die Same-Origin-Policy umgangen werden und Daten abgegriffen werden.
Wie funktioniert XSS?
Stellen wir uns beispielsweise eine Kommentier-Seite vor: Es werden Kommentare von Nutzern angezeigt. Nicht eingeloggte Nutzer können durch Eingabe ihrer Zugangsdaten auch einen Kommentar hinterlassen. Unser Angreifer möchte die Zugangsdaten der User gerne mitlesen. Dazu könnte unser Angreifer ein Kommentar mit einem Javascript posten, welches Formulardaten per AJAX an seinen Server sendet.
XSS kann aber auch ganz einfach genutzt werden um COOKIE-Inhalte abzugreifen. Dadurch kann eine Session übernommen werden.
