2000年2月にCERT/CCとMicrosoftから「クロスサイトスクリプティングの脆弱性に関する問題」の勧告が発端。
検索エンジンなどのWebサイトのキーワード入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることを、クロスサイトスクリプティングと呼ぶ。当事者の意図しないところで情報が引き抜かれる点を考えると、一種のハッキング行為に相当すると見ても筋違いではない。
このように、脆弱性のスキを突いた攻撃によって、サーバで認証を行うユーザーのcookieが盗まれ、他人によって認証をパスされるなどのセッションジャックが可能になる場合もある。特に商用サイトにおいては重大な問題として取り上げられているが、いまだに解決されていないところも多いのが現状。
検索エンジンなどのWebサイトのキーワード入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることを、クロスサイトスクリプティングと呼ぶ。当事者の意図しないところで情報が引き抜かれる点を考えると、一種のハッキング行為に相当すると見ても筋違いではない。
このように、脆弱性のスキを突いた攻撃によって、サーバで認証を行うユーザーのcookieが盗まれ、他人によって認証をパスされるなどのセッションジャックが可能になる場合もある。特に商用サイトにおいては重大な問題として取り上げられているが、いまだに解決されていないところも多いのが現状。