Межсайтовый скриптинг (XSS) - это тип уязвимости компьютерной безопасности, обычно встречающийся в веб-приложениях, который позволяет злоумышленникам внедрять сценарий на стороне клиента в веб-страницы, просматриваемые другими пользователями. Злоумышленники могут использовать уязвимость межсайтового скриптинга, чтобы обойти средства управления доступом, такие как одна и та же политика происхождения. Межсайтовый скриптинг, выполняемый на веб-сайтах, составлял примерно 80% всех уязвимостей безопасности, зарегистрированных Symantec на 2007 год.

Итак, значит ли это, что хакер создает некий вредоносный JS / VBscript и доставляет его ничего не подозревающей жертве при посещении легитимного сайта, на котором есть входы без выхода?

Я имею в виду, я знаю, как делается SQL-инъекция ....

Я особенно не понимаю, как JS / VBscript может нанести такой большой ущерб! Я думаю, что они запускаются только в браузерах, но, видимо, ущерб варьируется откейлогинг кражи куки и троянов.

Правильно ли я понимаю XSS? если нет, может кто-нибудь уточнить?

Как я могу предотвратить появление XSS на моих сайтах? Это кажется важным; 80% уязвимостей безопасности означает, что это очень распространенный метод взлома компьютеров.