Versione delle 22:19, 8 lug 2016 modifica Leo45555 (discussione \| contributi) Utenti autoverificati 4 469 modifiche →Disabilitare gli script: interlink Etichetta: Modifica visuale ← Differenza precedente		Versione delle 14:02, 27 set 2016 modifica annulla 88.42.248.35 (discussione) modificato da 1900 a 1990 Etichetta: Modifica visuale Differenza successiva →
Riga 11: Gli ingegneri della sicurezza di Microsoft hanno introdotto il termine "cross-site scripting" nel gennaio del 2000.L'espressione "cross-site scripting" originariamente si riferiva unicamente ad attacchi basati sull'utilizzo di frammenti di codice [[JavaScript]] inseriti all'interno di chiamate a pagine web dinamiche poste su un web-server (tecnica facente parte dei metodi di [[code injection]]) in modo che il server remoto eseguisse operazioni diverse da quelle previste originariamente dall'applicativo web. Tale definizione, gradualmente, si è estesa comprendendo anche altre modalità di "iniezione di codice" basate non solo su [[JavaScript]] ma anche su [[ActiveX]], [[VBScript]], [[Adobe Flash\|Flash]], o anche puro [[HTML]]. Ciò ha generato una certa confusione nella terminologia riferita alla [[sicurezza informatica]]: il termine, infatti, ricomprende oggi tutto un insieme di tecniche di attacco e non esclusivamente quella basata su manipolazione di codice JavaScript.<ref name="Grossman">{{Cita web\|autore=Grossman, Jeremiah\|titolo= The origins of Cross-Site Scripting (XSS)\|url= http://jeremiahgrossman.blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html \|data=30 luglio 2006\|accesso=15 settembre 2008}}</ref> Vulnerabilità XSS sono state segnalate e sfruttate dal ~~1900~~1990. Siti noti sono stati compromessi nel passato, inclusi siti di social-network come [[Twitter]]<ref>{{Cita web\|url=http://www.theguardian.com/technology/blog/2010/sep/21/twitter-bug-malicious-exploit-xss\|titolo=Twitter users including Sarah Brown hit by malicious hacker attack\|cognome=Arthur\|nome=Charles\|sito=the Guardian\|data=21 settembre 2010\|accesso=21 maggio 2016}}</ref>, [[Facebook]]<ref>{{Cita web\|url=http://www.theregister.co.uk/2008/05/23/facebook_xss_flaw/\|titolo=Facebook poked by XSS flaw\|cognome=Hacking\|accesso=21 maggio 2016}}</ref>, [[Myspace\|MySpace]], [[YouTube]] e [[Orkut]]<ref>{{Cita web\|url=http://www.zdnet.com/blog/security/obama-site-hacked-redirected-to-hillary-clinton/1042\|titolo=Obama site hacked; Redirected to Hillary Clinton {{!}} ZDNet\|cognome=Dignan\|nome=Larry\|sito=ZDNet\|accesso=21 maggio 2016}}</ref>. Negli anni successivi, i problemi di cross-site scripting hanno superato quelli di buffer overflows diventando la vulnerabilità di sicurezza più comunemente segnalata<ref>{{Cita web\|url=https://cwe.mitre.org/documents/vuln-trends/index.html\|titolo=CWE - Vulnerability Type Distributions in CVE\|sito=cwe.mitre.org\|accesso=21 maggio 2016}}</ref>, tant'è che alcuni ricercatori nel 2007 hanno supposto che il 68% dei siti probabilmente sarebbero esposti ad attacchi XSS<ref>{{Cita web\|url=http://web.archive.org/web/20080418072230/http://www.csoonline.com/article/221113\|titolo=Software Vulnerability Disclosure: The Chilling Effect - CSO Online - Security and Risk\|data=18 aprile 2008\|accesso=21 maggio 2016}}</ref>.

Cross-site scripting: differenze tra le versioni