クロスサイトスクリプティング(Cross Site Scripting、XSS)とは、ソフトウェアのセキュリティホールの一つで、動的にWebページを生成するWebアプリケーションのセキュリティ上の欠陥を意図的に利用し、サイト間を横断して、悪意のあるスクリプトを混入させること。攻撃者が、対象となるサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行させることから、クロスサイト(サイトを横断した)スクリプティングと呼ばれる。例えば、Webサイトの訪問者が入力した情報をそのまま画面に表示する掲示板などのプログラムは、悪意のあるコードを、掲示板訪問者のブラウザに送ってしまう可能性がある。悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれて送信されるため、ページを閲覧した訪問者のコンピュータ上でスクリプトが実行されてしまう。このようにページに埋め込まれてしまったスクリプトは、Webブラウザ側では本来のページ作成者以外が埋め込んだものであると認識できない。ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。対策としては、Webサイト側で、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して、無効にすることが必須である。
