باگ xss یا Cross site scripting یک دستور با کد های مخرب جاوا اسکریپت است که برنامه وب آسیب پذیر تزریق می کند.XSS یا Cross site scripting با سایرحمله وب (مانند تزریق SQL) متفاوت است ، به این دلیل که مستقیماً برنامه مورد نظر خود را هدف قرار نمی دهد. درعوض ، کاربران برنامه وب کسانی هستند که در معرض خطر هستند.
ابتدا حمله کننده یک باگ یا آسیب پذیری بر روی یک سایت یا برنامه کاربردی پیدا کرده سپس با تزریق کدهای خود آن را اکسپلویت میکند. تزریق کد میتواند به روشهای گوناگونی انجام بپذیرد. در فاز اول مهاجم به دنبال یک سایت آسیبپذیر میگردد، سپس کدهای مورد نظرش را در آن تزریق مینماید و بعد از آن این وب سایت محتوی آلوده مورد نظر مهاجم را به کاربران بازمیگرداند، زمانی که این کدها در مرورگر قربانی اجرا میشوند، مهاجم قادر به سواستفاده از ارتباطات کاربر و برنامه کاربردی خواهد بود. به طور مثال به کوکیهای کاربر دست یافته و خود را میتواند به جای کاربر جا بزنند. البته در این خصوص راهکارهای امنیتیای از سمت وب سایت و کاربر بایستی به کار گرفته شود.
برای پیشگیری از ایجاد آسیبپذیری وروردیهایی که از کاربران دریافت مینمایید را حتما فیلتر کنید، هر چقدر این روند فیلترکردن سختگیرانهتر باشد سطح امنیت بالاتری را برای سایت شما به ارمغان میآورد. یعنی تنها به ورودیهای مجاز و آن مقادیری که انتظارشان را دارید اجازه ورود بدهید. دادههای خروجی را encode کنید. از سرآیندهای امنیتی مانند Content-Type و یا X-Content-Type استفاده کنید.
