Scriptingیکی از روش های حمله هکرها به سایت ها است و یک نقص امنیتی محسوب می شود. البته در این حمله کدهای سمت کلاینت از قبیل جاوا اسکریپت به سایت تزریق می شوند و هدف اصلی هکرها کاربرانی هستند که به سایت مراجعه کرده اند. در حقیقت هکرها در این نوع از حمله اطلاعات کاربران یک سایت را بدون اینکه خودشان آگاهی داشته باشند، به سرقت می برند.
اگرچه مخفف Cross Site Scripting، CSS می باشد اما از آنجا که CSS به عنوان مخفف Cascading Style Sheets نیز می باشد، به منظور جلوگیری از بروز اشتباه، XSS را به Cross Site Scripting نسبت داده اند.
در XSS هکرها کدهای خود را جایگزین کدهای صفحات وب پویا می کنند. این حمله اغلب هنگامی صورت می گیرد که یک سایت جهت درخواست اطلاعات کاربر از Query string استفاده می نماید. کدهائی که جایگزین کدهای صفحات پویا می شوند، بر روی کامپیوتر کاربر اجرا می شوند. این کدها می توانند اطلاعات با اهمیت موجود در کامپیوتر او را سرقت ببرند و به صورت مخرب بکار گیرند.
به عنوان مثال: ممکن است پس از ورود اطلاعات یک کاربر مثل username و password در سایت یکی از بانکها که در برابر XSS محافظت نشده، این اطلاعات توسط هکر دزدیده شود ( البته بدون آگاهی کاربر ) و آنگاه حساب بانکی کاربر مورد دستبرد واقع شود.
با اینکه بسیاری از وب سایت ها، فیلترهایی برای شناسایی پست های حاوی XSS دارند اما نمی توان همه انواع مختلف XSS را فیلتر نمود. به این ترتیب می توان گفت سایت هایی که اقدام به دریافت اطلاعات از کاربران می کنند، مستعد حملات XSS هستند.
یکی از روش های دستیابی به اطلاعات کاربر بدست آوردن cookieای است که سایت ها پس از استفاده کاربر در سیستم او ایجاد و ذخیره می نمایند، تا در ورودهای بعدی از اطلاعات ذخیره شده در آن استفاده نموده و به کاربر اجازه ورود دهند. با دستیابی به این فایل در حقیقت هکر به اطلاعات کاربر دست پیدا نموده و می تواند از آنها استفاده های سوئی نماید.
