Cross-Site Scripting (XSS) ist eine Sicherheitslücke, bei der ein Angreifer bösartiges JavaScript in eine Webseite einschleust, die von anderen Benutzern betrachtet wird — und im Browser ausgeführt wird, um Daten zu stehlen, Sitzungen zu kapern oder Aktionen als Benutzer auszuführen. Es ist eine häufige, gefährliche Web-Sicherheitslücke, die durch ordnungsgemäße Output-Behandlung verhindert werden kann.
Wie XSS funktioniert
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
