Cross-Site-Scripting

XSS und HTML-Injection

Hier wird die einfache Sicherheitsstrategie von Javascript ausgenutzt, die es einem Script erlaubt, Inhalte einer Webseite auszulesen und zu verändern, sofern das Script vom gleichen Server stammt. Gelingt es also, dem Browser vorzutäuschen, dass der Ursprung des Scripts identisch mit dem der Webseite ist, kann eine Webseite ‘on-the-fly’ verändert werden. Diese Technik kann auch dazu verwendet werden, Passwörter bei der Eingabe auf der ‘originalen’ Webseite zu stehlen. Eine ‘gefakte’ Website oder Kopie der Website, ist bei dieser Methode nicht nötig. Ein völliger Schutz lässt sich nur durch Abschalten von Javascript im Browser erreichen. Heute hängt allerdings ein hoher Anteil der Webseiten-Funktionalität von Javascript ab. Eine mögliche Lösung ist das Browser Plugin NoScript, das die Möglichkeit bietet, wenn es die Funktionalität der Webseite erfordert, Javascript vorübergehend zu aktivieren.