관리자가 아닌 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법.
사용자의 쿠키를 탈취하여 세션 하이재킹 공격을 하기도 함
로그인 정보가 포함된 쿠키를 통해 사용자의 계정으로 로그인
삽입된 스크립트가 데이터베이스에 저장이 되고, 저장된 악성 스크립트가 있는 게시글을 열람한 사용자는 스크립트가 작동하면서 쿠키를 탈취 당한다던가, 다른 사이트로 리디렉션 되는 공격을 받게 됨
XSS cheat sheet에 대한 필터 목록을 만들어 모든 cheat sheet에 대한 대응이 가능하도록
인터넷 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격
예를 들면 브라우저에서 페이스북에 로그인 되어 있는 상태인데 피싱 사이트에 접속을 하게 되면 본인의 페이스북에 엉뚱한 글이 게시될 수 있다.