Prima chiedo c'è una definizione assoluta? Ho fatto un po 'di Google e sembra che tutti dica qualcosa di diverso.
SO dice una persona
An XSS vulnerability exists whenever a string from outside your application can be interpreted as code.
Sembra simile a un'iniezione SQL ma attacca il server web, non l'utente?
Un altro
Cross Site Scripting basically is a security vulnerability of dynamic web pages where an attacker can create a malicious link to inject unwanted executable JavaScript into a Web site. The most usual case of this vulnerabilities occurs when GET variables are printed or echoed without filtering or checking their content.
Ancora una volta sembra che qualcuno possa fare un pasticcio con l'URL per inserire il codice dannoso in GET, ma non sarebbe come attaccare se stessi?
Questo articolo era nella parte superiore di una ricerca di Google ma sembra barbabietolare e non definire nulla. Implica che XSS sia fatto di solito con JavaScript, è vero?