Utan att gå djupt in i XSS är principen:
1) Data tas från besökaren.
2) Mjukvaran gör något.
3) Presenterar utifrån det något på skärmen.
XSS i kod du utvecklat själv
Det potentiella problemet illustreras med följande exempel. Säg att du har en sökfunktion som tar in något och visar ett sökresultat tillsammans med söktermen. Söktermen skrivs rätt ut tillsammans med övrig html. Söker någon med en länk blir det då en länk på sidan.
Indexeras den sidan har angriparen skapat en länk från din sajt. För att få den indexerad kan angriparen länka in den. Ibland kommer Google då att indexera den men inte alltid.
Det hindras genom att filtrera allt indata och ta bort alla tecken som kan vara farliga.
Drabbas du av angrepp här är det troligen riktat specifikt mot dig. Det är ju ett troligt scenario avseende SEO-hacking.
XSS i standardmjukvara
XSS kan också finnas som ett säkerhetshål i mjukvara som du använder. Det korrigeras då med en fellagning.
Mer om XSS
Följande är bra läsning:
http://www.cgisecurity.com/articles/xss-faq.shtml http://www.technicalinfo.net/papers/CSS.html http://www.cert.org/tech_tips/malici...itigation.html