Siteler arası komut dosyası çalıştırma (XSS), genellikle web uygulamalarında bulunan bir tür bilgisayar güvenlik açığıdır. Bir saldırganın, diğer kullanıcılar tarafından görüntülenen web sayfalarına genellikle istemci tarafı komut dosyası biçiminde kötü amaçlı kod eklemesine olanak tanır. XSS saldırıları, bilgisayar korsanları tarafından web istemcilerini manipüle etmek ve verileri çalmak veya bir web sitesinin işlevselliğini değiştirmek için kullanılan bir saldırı tekniğidir.
XSS saldırıları genellikle web uygulamasındaki güvenlik açıklarından yararlanarak web sayfalarına kötü amaçlı komut dosyaları enjekte edilerek gerçekleştirilir. Kötü amaçlı kod, HTML, JavaScript, ActionScript ve VBScript gibi istemci tarafı tarayıcının desteklediği herhangi bir dilde yazılabilir. Kötü amaçlı kod enjekte edildikten sonra, etkilenen sayfa kullanıcı tarafından ziyaret edildiğinde yürütülür. Kötü amaçlı kod, kullanıcıları kötü amaçlı web sitelerine yönlendirmek, hassas bilgileri çalmak, web sitesinin davranışını değiştirmek ve yetkisiz komutlar çalıştırmak gibi çeşitli amaçlarla kullanılabilir.
Çok sayıda modern web sitesi, XSS saldırılarını önlemek için giriş doğrulama gibi çeşitli teknikler kullanır. Giriş doğrulama, kullanıcı girişini web sunucusuna aktarmadan önce kontrol etme uygulamasını ifade eder. Bu teknik, sunucuya yalnızca geçerli verilerin gönderilmesini ve olası kötü amaçlı kodların atılmasını sağlamaya yardımcı olur. Ayrıca modern web tarayıcıları, kullanıcıları XSS saldırılarından korumaya yardımcı olmak için "İçerik Güvenliği Politikası" adı verilen bir mekanizma da kullanır.
XSS saldırılarını azaltmak için kullanılan çeşitli tekniklere rağmen, bunlar en tehlikeli web güvenliği tehditlerinden biri olmaya devam ediyor. Bu nedenle, uygulamadaki herhangi bir güvenlik açığının kötü niyetli aktörler tarafından istismar edilebileceğinden, web geliştiricilerinin web uygulamalarını tasarlarken ve uygularken ekstra dikkatli olmaları gerekir.
