Zurück zur Übersicht

Begriff

XSS (Cross-Site Scripting)

Security Web S2
2 Quellen 0 Lernpfade 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Eine Webseite sollte nur Code ausführen, den der Entwickler geschrieben hat. Bei XSS schafft es ein Hacker, seinen eigenen JavaScript-Code auf der Seite anderer User auszuführen. Beispiel: Ein Forum. Ich poste einen Kommentar: "Hallo! <script>alert('Hacked')</script>". Wenn der Server das nicht filtert, sieht jeder, der meinen Kommentar liest, das Popup. Statt "Hacked" könnte ich auch Code schreiben, der deine Cookies (Login-Session) an mich sendet. Ich bin dann in deinem Account eingeloggt.

Merksatz: Eine Sicherheitslücke, bei der Angreifer bösartigen Skriptcode (meist JavaScript) in vertrauenswürdige Webseiten einschleusen, der dann im Browser anderer Benutzer ausgeführt wird.


Quick-Check

  1. Warum "Cross-Site"?
    Historischer Name. Ursprünglich ging es darum, Sicherheitszonen zwischen Sites zu durchbrechen. Heute passiert es meist auf der gleichen Site, aber der Name blieb.
  2. XSS vs. CSRF?
    Bei XSS führt der Hacker Code im Browser des Opfers aus (er kann alles sehen/machen). Bei CSRF bringt er den Browser nur dazu, einen Request zu senden (Blindflug). XSS ist mächtiger.
  3. Sanitization?
    Wenn man HTML erlauben muss (z. B. Fettdruck in Kommentaren), nutzt man Sanitizer-Libraries (DOMPurify). Die entfernen nur gefährliche Tags (script, iframe, onclick), lassen harmlose (b, i) stehen.