Cross-Site Scripting (XSS) ist eine Schwachstelle in Webanwendungen, bei der Angreifer schädlichen Code – meist JavaScript – in Webseiten einschleusen, die andere Nutzer dann ausführen. Ziel ist es oft, Zugangsdaten zu stehlen, Sitzungen zu übernehmen oder unerlaubte Aktionen im Namen des Opfers durchzuführen.
XSS entsteht häufig durch unzureichende Eingabeüberprüfung und fehlendes Encoding. Die Sicherheitslücke zählt zu den OWASP Top 10 und ist eine der am weitesten verbreiteten Angriffsformen im Web.