Cross-Site-Scripting (XSS)

Cross-Site-Scripting (XSS) bezeichnet eine Sicherheitslücke in Webanwendungen, die es Hackern ermöglicht, bösartige Skripte respektive eigene Inhalte, auf einer Drittwebseite auszuliefern. Diese Skripte werden unbemerkt im Browser der Benutzer:innen ausgeführt und erlauben es dem Angreifer, sensible Daten zu stehlen. Im Bereich des Online-Spendens könnten Angreifer beispielsweise ein täuschend echt aussehendes Spendenformular anzeigen, um unbemerkt Kontaktinformationen zu stehlen oder Spendenzahlungen auf ein betrügerisches Konto umzuleiten. XSS-Schwachstellen entstehen in der Regel, wenn eine Webanwendung Benutzereingaben (z. B. Kommentare oder Nachrichten) nicht ausreichend validiert oder bereinigt. XSS-Risiken lassen sich minimieren, indem Entwickler Eingaben validieren, Ausgaben korrekt kodieren, ihre Web-Technologie regelmässig updaten und Sicherheitsmechanismen wie die Content Security Policy (CSP) einsetzen.