Il '''Cross-site scripting''' ('''XSS''') è una [[vulnerabilità]] che affligge [[Web dinamico|siti web dinamici]] che impiegano un insufficiente controllo dell'input nei [[form]]. Un XSS permette ad un [[hacker]] di inserire od eseguire codice lato server al fine di modificareattuare ilun contenutoinsieme dellavariegato paginadi webattacchi visitata.quali Inad questoesempio: modoraccolta, èmanipolazione possibilee sottrarrereindirizzamento datidi sensibiliinformazioni riservate, visualizzazione e modifica di dati presenti nelsui browserserver, deglialterazione utentidel checomportamento visiterannodinamico successivamentedelle quellapagine paginaweb ecc...
Secondo [[symantec]] nel [[2007]] l'80% di tutte le violazioni sono dovute ad attacchi '''XSS'''<ref>{{en}} [http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_exec_summary_internet_security_threat_report_xiii_04-2008.en-us.pdf Symantec Internet Security Threat Report: Trends for July-December 2007]</ref>.
Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.
==Origine e trasformazione del concetto==
L'espressione "cross-site scripting" originariamente si riferiva unicamente ad attacchi basati sull'utilizzo di frammenti di codice [[JavaScript]] inseriti all'interno di una pagina web client-side (tecnica chiamata [[code injection]]) in modo che il server remoto eseguisse, sulla base delle chiamate effettuate dal client, operazioni diverse da quelle previste server-sideoriginariamente dall'applicativo web. Tale definizione gradualmente si è estesa ricomprendendo altre modalità di "iniezione di codice" basate non solo su [[Java (programming language)|Java]], ma anche su [[ActiveX]], [[VBScript]], [[Adobe Flash|Flash]], o anche puro [[HTML]], e query [[SQL]] (quest'ultima tecnica chiamata più diffusamente SQL Injection). Ciò ha generato una diffusa confusione nella terminologia riferita alla [[information security|Sicurezza Informatica]]: il termine, infatti, ricomprende oggi tutto un insieme di tecniche di attacco e non esclusivamente quella basata su manipolazione di codice JavaScript.<ref name=Grossman>{{cite web|author=Grossman, Jeremiah|title= The origins of Cross-Site Scripting (XSS)|url= http://jeremiahgrossman.blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html |date=July 30, 2006|accessdate=September 15, 2008}}</ref><ref name=Wikipedia>{{cite web|author=Wikipedia|title=Cross-site scripting |url=http://en.wikipedia.org/wiki/Cross-site_scripting}}</ref>
