略称 [[CSS]] 脆弱性または XSS 脆弱性。

いま、 <http://foo.example/bar/?title=hoge> で、
title=hoge が変数 $title とその値 "hoge" として取り出せる
とします。サーバー側でこれを処理する時に、

 <h1>$title</h1>

そのままとすると、結果 "<h1>hoge</h1>" となります。

ところが、仮に $title が "foo</h1>bar<h1>FOO" のような
内容であるとしたら、それがこのまま使われると、おそらく
作者が意図しなかった結果になります。

これだけなら文章構造 (と表示) が乱れるだけだから良いような
ものですが、 [[HTML]] の [[script要素]]などを悪用すると
閲覧者に危害を加えることになりかねません。ある程度限定
された範囲・条件とはいえ、閲覧者の個人情報を第3者が
入手することが可能になります。
- [1] [[W3C]] の [[CSS]] と紛らわしいので [[XSS]] と略すのが流行ってる(?)んだそーです。