XSS(クロスサイトスクリプティング,Cross Site Scripting)は、動的なウェブサイトのアプリケーションの脆弱性を意図的に利用し、悪意のあるスクリプトを混入させることです。CSS(Cascading Style Sheets)と区別するためにXSSと呼ばれます。
フォームなどに脆弱性がある場合、悪意のあるユーザがJavaScriptなどのスクリプトを入力した際、それがHTMLに埋め込まれてしまい、ページを閲覧した他のユーザがそれを実行しまう恐れがあります。 また、JavaScriptでCookieを盗聴され、Cookieに記録された個人情報を盗られたり、本人になりすまされる恐れがあります。
エスケープ処理
ユーザが入力したデータについて、HTMLの実体参照を用いてタグを無効化し、スクリプトなどを実行できなくします。サニタイズとも呼ばれています。& → & < → < > → > " → "