Die Anwendung übernimmt nicht vertrauenswürdige Daten, die nicht auf Gültigkeit geprüft oder escaped werden, um folgenden HTML-Code zu generieren:

Der Angreifer ändert den Parameter ‘CC’ in seinem Browser auf:

Dadurch wird die Session-ID des Benutzers an die Seite des Angreifers gesendet, so dass der Angreifer die aktuelle Benutzersession übernehmen kann. Beachten Sie bitte, dass Angreifer XSS auch nutzen können, um jegliche CSRF-Abwehr der Anwendung zu umgehen. A5 enthält weitere Informationen zu CSRF. Grundsätzlich wird zwischen 3 Varianten für XSS unterschieden:

1. Reflektiert bzw. nicht persistent: DIe Benutzereingabe wird direkt von der Webanwendung zum Benutzer zurück gesendet. Enthält die Eingabe schädlichen Skriptcode, wird dieser im Browser des Benutzers ausgeführt. Bsp.: Benutzerforen, Gästebuch,...
2. beständig bzw. persistent: schädlicher Skriptcode wird zunächst in der Webanwendung gespeichert und erst später bei Anfragen ausgeliefert. Bsp.: Suchergebnisse, Fehlermeldungen oder andere Antworten Ses Webservers, die Teile der Eingabe enthalten.
3. DOM-basiert oder lokal: Schadcode wird direkt an ein client-seitiges Skript übergeben. Die Webanwendung ist überhaupt nicht beteiligt.

Um XSS zu verhindern, müssen nicht vertrauenswürdige Daten von aktiven Browserinhalten getrennt werden.

1. Vorzugsweise sollten nicht vertrauenswürdige Metazeichen für den Kontext, in dem sie ausgegeben werden (HTML, JavaScript, CSS, URL usw.), entsprechend escaped werden. Entwickler müssen dies in ihren Anwendungen umsetzen, solange dies nicht bereits durch ein korrekt eingesetztes Framework sichergestellt ist. Das OWASP XSS Prevention Cheat Sheet enthält weitere Informationen zu Escaping-Techniken.
2. Eingabeüberprüfungen durch Positivlisten (“White-listing") mit einer angemessenen Kanonisierung und Dekodierung wird empfohlen. Dieses Vorgehen bietet jedoch keinen umfassenden Schutz, da viele Anwendungen Metazeichen als Eingabemöglichkeit erfordern. Eine Gültigkeitsprüfung sollte kodierte Eingaben dekodieren und auf Länge, Zeichen und Format prüfen, bevor die Eingabe akzeptiert wird.
3. Ziehen Sie auch Mozillas Content Security Policy als Schutz gegen XSS in Betracht.

JAVA

XSS

XSS

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 

1. 4F81BD;

          background-color: 

1. F2F2F2;">

Reflektiertes und Persistentes XSS

Canonicalize Input Setze Zeichenkodierung und Sprache auf die einfachste Form, z.B. im Header der ausgelieferten Seiten: Content-Type: text/html; charset=utf-8, Accept-Language: da, en-gb;q=0.8, en;q=0.7. Damit reduzieren sich die Möglichkeiten nachfolgende Validierungsroutinen zu umgehen.

Validate Input Using a Whitelist Whitelist validation (accept only known good data) is a key tenet of good security. Check the content of the data, the length, data type, etc.

• Validierung gegen Positiv-Listen z.B. [^[a-zA-Z0-9+&*-]+(?:\.[a-zA-Z0-9_+&*-]+)*@(?:[a-zA-Z0-9-]+\.)+[a-zA-Z]{2,7}$]] für das Format der Email-Adresse. Weitere Beispiele finden unter OWASP Validation Regex Repository

Contextual Output Encoding/Escaping: Output Escaping is the last step, and must be done for the appropriate context. You must understand where you’re sticking data, and how that location is interpreted from the browser’s view. This can be a sticky issue, so this one gets a bit problematic.

• sind nicht ausreichend, falls Metazeichen (im wesentlichen %&/()=?{[]}\+*~<>|,;.:-^' usw.) verarbeitet werden müssen. In diesem sind diese Metazeichen nach Möglichkeit geeignet kodiert werden (insbes. & zu &amp, < zu &lt, > zu &gt, " zu &quot, ' zu &#x27 und / zu &#x2F). Die Verwendung von Frameworks wie ESAPI erlaubt eine vollständigere Lösung des Problems:

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 

1. 4F81BD;

          background-color: 

1. F2F2F2;">

DOM-basiertes oder lokales XSS

(ganze Breite)

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 

1. 4F81BD;

          background-color: 

1. F2F2F2;">