XSS web tabanlı uygulamalarda çok sık karşılaşılan güvenlik zafiyetlerinden biridir. Temeli istemci tarafında kod enjeksiyonuna dayanır. Saldırgan, JavaScript kodlarını web uygulamalarına dahil ederek bu sayfaları ziyaret eden kullanıcıların tarayıcılarında bu kodları çalıştırmayı hedefler. Bu zafiyete kullanıcıların girdi sağladığı forumlar, mesajlaşma arayüzleri ve yorum alanlarında sıkça rastlanır.
Bu saldırılar genellikle kullanıcıların cookielerini (çerezler) çalmaya odaklıdır. Çerezler, kullanıcıların oturum bilgilerini saklar ve genellikle web sitelerine otomatik giriş yapmak için kullanılır. Saldırganlar bu çerezlere eriştiğinde, kullanıcıların hesaplarına yetkisiz erişim sağlayabilir ve kullanıcı adına işlemler gerçekleştirebilirler.
Kalıcı olmayan XSS’dir. Genellikle, zararlı scriptler URL parametreleri aracılığıyla gönderilir ve kullanıcı bunu açtığında tarayıcıda çalıştırılır.
Bu da kalıcı olan XSS. Zararlının veritabanında saklanması ve diğer kullanıcıların içeriği görüntülemesi sırasında bu scriptlerin çalıştırılması ile gerçekleşir.
Zararlı scriptler doğrudan kullanıcının tarayıcı tarafında çalışan DOM (document object model) üzerinden gerçekleştirilir. Burada saldırgan, bir web uygulamasının client-side scriptlerinin DOM’u değiştirmesini tetikleyerek çalıştırır.