Khi một ứng dụng web là dễ bị tấn công dạng này, nó sẽ vượt qua đầu vào unvalidated gửi yêu cầu qua lại cho khách hàng. Các cách làm việc chung của các cuộc tấn công bao gồm bước thiết kế, trong đó kẻ tấn công tạo ra và kiểm tra một phạm URI, một bước kỹ thuật xã hội, trong đó cô đã thuyết phục các nạn nhân của mình để tải URI này vào trình duyệt của họ, và sự thực hiện cuối cùng của mã vi phạm sử dụng trình duyệt của nạn nhân.
Thường mã của kẻ tấn công được viết bằng ngôn ngữ Javascript, nhưng các ngôn ngữ kịch bản khác cũng được sử dụng, ví dụ như, ActionScript và VBScript. Những kẻ tấn công thường tận dụng những lỗ hổng bảo mật để cài đặt keylogger, ăn cắp cookie nạn nhân, thực hiện hành vi trộm cắp clipboard, và thay đổi nội dung của trang (ví dụ, liên kết tải về).
Một trong những khó khăn chính trong việc ngăn chặn các lỗ hổng XSS là mã hóa ký tự thích hợp. Trong một số trường hợp, các máy chủ web hoặc các ứng dụng web có thể không được lọc một số bảng mã ký tự, do đó, ví dụ, các ứng dụng web có thể lọc ra "”, but might not filter %3cscript%3e which simply includes another encoding of tags.
đang được dịch, vui lòng đợi..
