Le XSS est une injection de code malveillant (souvent du Javascript) dans un site côté client (navigateur).
Le XSS permet à un attaquant de :
- Rediriger l’utilisateur, souvent pour l’hameçonner
- Voler des informations comme les jetons de session ou les cookies
- Agir sur le site qui a une faille avec l’identité de l’utilisateur et à son insu
- Perturber la lecture d’une page (comme avec une boucle infinie d’alertes)
Le Cross-Site Scripting est abrégé XSS et non CSS pour ne pas le confondre avec les Cascading Style Sheets. Le X fait référence à la croix, “cross” en anglais.
Le XSS n’est pas à confondre avec la SQLi qui s’attaque à la base de données côté serveur.