Đăng chéo này như một tài liệu tham khảo hợp nhất từ bản beta tài liệu SO đang ngoại tuyến.
Vấn đề
Kịch bản trang web chéo là việc thực thi mã từ xa ngoài ý muốn của một máy khách web. Bất kỳ ứng dụng web nào cũng có thể tự tiếp xúc với XSS nếu nó lấy đầu vào từ người dùng và xuất trực tiếp trên trang web. Nếu đầu vào bao gồm HTML hoặc JavaScript, mã từ xa có thể được thực thi khi nội dung này được hiển thị bởi máy khách web.
Ví dụ: nếu phía bên thứ 3 chứa tệp JavaScript:
// //example.com/runme.js
document.write["I'm running"];
Và một ứng dụng PHP trực tiếp xuất trực tiếp một chuỗi được truyền vào nó: