XSS (Cross-Site Scripting), kötü niyetli bir kullanıcının web sayfasına zararlı kod enjekte etmesine olanak tanıyan bir güvenlik açığıdır. Bu zararlı kodlar, genellikle kullanıcıların tarayıcılarında çalıştırılır ve aşağıdaki gibi ciddi sonuçlar doğurabilir: - Oturum çalma: Çerezlerde saklanan oturum bilgilerini ele geçirip kullanıcı adına işlem yapma. - Hassas veri hırsızlığı: Şifreler, kredi kartı bilgileri ve diğer hassas verilerin çalınması. - Zararlı içerik enjeksiyonu: Kullanıcının tarayıcısında istenmeyen reklamlar veya kötü amaçlı yazılımlar gösterme. XSS saldırıları üç ana kategoriye ayrılır: 1. Saklanan XSS (Stored XSS): Saldırgan, zararlı kodu sunucuya kaydeder ve web sayfası her görüntülendiğinde çalıştırılır. 2. Yansıyan XSS (Reflected XSS): Zararlı kod, sunucuya kaydedilmez, ancak hemen geri döndürülür. 3. DOM Tabanlı XSS: Zararlı kod doğrudan tarayıcıda çalıştırılır, sunucuya herhangi bir zararlı veri gönderilmez. XSS saldırılarından korunmak için girdi doğrulama, çıktı kodlama ve güvenlik politikaları gibi önlemler alınmalıdır.