Beim Cross Site Scripting geht es allgemein um die Manipulation der Benutzereingaben, die an eine Web-Anwendung übergeben werden können. Durch Ausnutzung von Sicherheitslücken in der Anwendung kann ein Angreifer dadurch dann unter anderem schädlichen Programmcode in eine für den Benutzer normalerweise korrekte Umgebung einbetten. Oder er versucht eine gewisse Kontrolle über die Ausführung der Web-Anwendung zu erlangen, was er zu seinen Zwecken ausnutzen will. Ziel ist meist das Ausspähen und die Manipulation von Benutzerdaten, wie z.B. Passwörtern oder einfach das Ausführen von beliebigen Programmcode.
Cross Site Scripting wurde eine Zeit lang auch mit CSS abgekürzt, was jedoch zu einer Begriffsverwirrung mit den Cascading Style Sheets führte. Daher bürgerte sich die Abkürzung XSS ein, die ich im folgenden auch verwenden werde.
Als allgemeinen Lesestoff zu diesem Thema empfehle ich die Literatur, auf die im Anhang verwiesen wird.[1,2,3,4]