Was ist XSS (Cross-Site Scripting)?
Zuletzt aktualisiert: 30.06.2025
XSS steht für „Cross-Site Scripting“ und bezeichnet eine häufige Sicherheitslücke in Webseiten und Webanwendungen. Dabei schleusen Angreifer schädlichen Code (meist JavaScript) über Eingabefelder, Kommentare oder URL-Parameter in eine Webseite ein. Wird dieser Code von anderen Nutzern oder sogar dem Betreiber ausgeführt, können Angreifer z. B. Passwörter stehlen, Sitzungen übernehmen oder den Inhalt der Seite manipulieren.
Es gibt verschiedene Arten von XSS, darunter:
- Reflected XSS: Der Schadcode wird sofort mit der Antwort des Servers zurückgegeben.
- Stored XSS: Der Schadcode wird dauerhaft im System (z. B. in einer Datenbank) gespeichert und bei jedem Aufruf für andere Nutzer ausgegeben.
- DOM-based XSS: Der Angriff findet direkt im Browser durch manipulierte Seiteninhalte statt.
Um XSS zu verhindern, sollten Benutzereingaben niemals ungefiltert auf Webseiten angezeigt werden. Stattdessen sollten sie validiert, bereinigt und (im HTML) richtig „escaped“ werden.
