XSS
サイト上で任意のscriptを実行されてしまう脆弱性 HTML生成の実装に問題があると、外部からスクリプトを埋め込まれてcokkieを盗まれたり、javascriptによる攻撃を受けてしまう
例)
<script>alert("xss");</script>
これをフォームに投稿するなどして脆弱性を調べることができる
対策
テンプレートへの文字列埋め込みは必ずescape
URLの出力はhttp://やhttps://のみを許可
重要なCookieにはhttponlyattributeを付与 X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block