利用者の入力がそのままページに出力され、混入したJavaScriptが他の閲覧者のブラウザ上で実行されてしまう脆弱性です。掲示板やコメント欄、検索結果の表示などで起こりやすい問題です。
ログインCookieやセッションを盗まれてなりすまされる、偽の入力フォームを表示されて情報を抜かれる、サイトを改ざんされるなどの被害があります。利用者側に被害が及ぶため信用問題にもなります。
出力時に値をエスケープしているか、CSP(コンテンツセキュリティポリシー)を設定しているかを確認します。サイトドックの健診ではセキュリティヘッダの設定状況をチェックします。
URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。
無料で健診する