Cross-site scripting (XSS) je závažná bezpečnostní zranitelnost webových stránek, kdy útočník vloží do stránky vlastní škodlivý JavaScript, který se následně na stránce spustí. V nejjednodušším případě útok využívá toho, že se stránka generuje dynamicky a vypisuje se na ní vstup uživatele.
Například stránka výsledků fulltextového vyhledávání pravděpodobně obsahuje výpis fráze, kterou návštěvník webu vyhledával. Pokud web nemá dostatečně ošetřené uživatelské vstupy, útočník místo hledané fráze vloží do webové stránky vlastní příkaz, který může značné škody:
- zobrazit nějaký nepříjemný obrázek
- vložit do stránek škodlivý kód
- přesměrovat uživatele na jiný web
- poslat útočníkovi obsah stránky, včetně nějakých utajovaných dat
- ukrást identitu uživatele (je-li přihlášený třeba do administrace, stane se přihlášeným i útočník
- přimět uživatele k opakované autentizaci (následuje zcizení loginu a hesla)