XSS — это способ получения прямой ссылки с какого либо сайта путем паразитирования. На уязвимом сайте с помощью специального GET запроса появляется продвигаемая ссылка. Далее, этот запрос отдается на индексацию поисковым системам, которые проглавтывают эти ссылки. Помимо эксплуатации чужих сайтов в своих корыстных целях данная деятельность приносит много различного спама на форумах, блогах и других ресурсах, т.к. необходимо отдать поисковику сформированные ссылки.
Чаще всего возможность эксплуатирования данной уязвимости свзана с недостаточной фильтрацией данных, поступающих из форм для ввода. Например сайт, который вообще не фильтрует данные может быть не подвергнут данной опасности, если он не выводит данные на сайт. Практически всегда XSS используют в поисковых формах.
Как избавиться?
— Жесткая фильтрация данных, поступающих из форм;
— Использование метода POST для форм ввода. В этом случае даже узявимый сайт нельзя будет использовать;
— Не выводить результаты поступающие из форм на сайт.