Pense só: você acabou de criar um jogo Browser. É decolando, e as pessoas estão se inscrevendo pelo caminhão.

Você tem certeza absoluta de cuidado para não ser vítima de SQL Injection, e seu lançamento está indo bem.

Mas, de repente, algo dá errado. De repente, os usuários que visitam a página são automaticamente redirecionados para ficar nefariouswebsite.com!

O que aconteceu?

Você acaba de se tornar uma vítima do que é conhecido como ataque de Cross Site Scripting (XSS ou para o short).Basicamente, um usuário insere algum tipo de código malicioso (como alguns Javascript) em qualquer área onde os dados de entrada do usuário será exibida. Poderia ser tão simples como isto:

<tipo de script="text / javascript"> janela.local.href="http://google.com '; script>

E no momento em que esse conteúdo fica visível para trás a um usuário, o seu navegador irá ver o bloco