クロスサイトスクリプティング

あるサイトのWebページを閲覧したとき、別サイトから送りこまれたコンテンツ(多くの場合はJavaScript)が、あたかもそのサイトから送信されたように見える攻撃方法。

ブラウザがセキュリティを保つための根拠としているSAME ORIGINの穴を突くことができる。

CGIなどを用いて動的に生成されるページでこの問題が起きる可能性があり、特にGETメソッドでのフォームを利用したページが危険である。

この問題を避けるためには、フォームやURLから送られる文字列中に危険なもの(HTML要素、スクリプト)が含まれていないかどうか、サーバは確認し、サニタイジングをする必要がある。

略称はCSSもしくはXSSである。同じくWeb技術の分野で用いられる用語であるカスケーディングスタイルシートがCSSと略されるため、混乱を避けたい場合にはXSSと略す。