XSS - cross-site-scripting (межсайтовый скриптинг)

Основная идея заключается в возможности выполнения скриптов (например Javascript) на компьютере пользователя.

Основной целью активных XSS атак являются форумы, блоги, гостевые книги и социальные сети. Виды уязвимостей в них перечислены ниже.

Отсутствует проверка html тегов в сообщениях передаваемой серверу
Например различные форумы и гостевые книги позволяют пользователю использовать html теги для форматирования текста. Если фильтрации, вводимых данных отсутствует или недостаточно проработана, то злонамеренный пользователь может использовать такие теги как и для подключения скрипта, например копирования cookie`ов пользователей или незаметного перехода на другой сайт. Исправляется подобная ошибка обычно грамотной настройкой фильтра html тегов

Отсутствует фильтрации параметров в уже разрешенных разрешённых тегов
Например разрешен тег добавления изображения img, однако злоумышленник может в качестве адреса картинки может указать удаленный сервер которой необходимо «задосить» большим количеством запросов
Данная уязвимость, в отличие от предыдущей, не специфична для html форматирования сообщений пользователя. Наиболее ярким примером её является тег img. Хакер может указать в качестве адреса сервер, имеющий узкий интернет канал, парализуя его работу большим количеством запросов. Другой вариант подобной атаки - указать параметр onmouseover и выполнить javascript код, при наведении на объект мыши.