XSS
ブラウザでは
SOP
内での任意操作
node.jsなどでのサーバサイドでは
RCE
となる
未検証
この場合にXSSと呼ぶことはない?
古い資料ではCSSと略されていることもある
おそらくCascading Style Sheetsと紛らわしいため呼ばれなくなった
分類
Stored XSS
Reflected XSS
DOM XSS
self XSS
対策
都度エスケープ
CSP
trusted types