Các cuộc tấn công Cross-Site Scripting (XSS) là một kiểu tiêm nhiễm, trong đó các tập lệnh độc hại được tiêm vào các trang web lành tính và đáng tin cậy. Các cuộc tấn công XSS xảy ra khi kẻ tấn công sử dụng ứng dụng web để gửi mã độc, thường ở dạng tập lệnh phía trình duyệt, tới một người dùng cuối khác. Các lỗ hổng cho phép các cuộc tấn công này thành công rất phổ biến và xảy ra ở bất kỳ nơi nào ứng dụng web sử dụng đầu vào từ người dùng trong phạm vi đầu ra mà nó tạo ra mà không xác thực hoặc mã hóa nó.

Kẻ tấn công có thể sử dụng XSS để gửi tập lệnh độc hại đến người dùng không nghi ngờ. Trình duyệt của người dùng cuối không có cách nào để biết rằng tập lệnh không đáng tin cậy và sẽ thực thi tập lệnh. Bởi vì nó cho rằng tập lệnh đến từ một nguồn đáng tin cậy nên tập lệnh độc hại có thể truy cập bất kỳ cookie, mã thông báo phiên hoặc thông tin nhạy cảm nào khác được trình duyệt giữ lại và sử dụng với trang web đó. Các tập lệnh này thậm chí có thể viết lại nội dung của trang HTML. Để biết thêm chi tiết về các loại lỗi XSS khác nhau

Tham khảo: Cross-site Scripting (hacksplaining.com)

Video: Hack cùng Code Dạo - Kì 2: XSS - Cross-Site Scripting - YouTube