Cross site scripting

Netscape, JavaScript dilinin tarayıcılarında çalıştırılabileceğini duyurduğunda web sunucusu tarafından gönderilen ve istemcide çalıştrılabilen kodların güvenlik riskleri yaratabileceğini göstermiş oluyordu. Örneğin, bir sayfadan çalıştırılan betik diğer bir sayfaya ulaşabilecekti. Kötü niyetli bir web sitesinin bu yolla diğer sitelerin bilgilerini çalması üzerine bu ayrıcalık kısıtlanmış ve söz konusu betiklerin yalnızca aynı alan adı üzerinde kullanılmasına karar verilmiştir.

O zamandan bu yana, kötü niyetli sitelerden korunmak için küçük erişim kontrolü tedbirleri geliştirildi. Genelde cross site scripting açıkları, saldırganın sistemi deneme-yanılma yaparak bulması ile ortaya çıkmaktadır. Açığın bulunması ile saldırgan, başka bir alan adından, açığın bulunduğu alan adı ve sayfanın bilgilerini, oturum ayrıntılarını ve diğer nesne değerlerini çalabilmektedir.