Persistentes XSS

Ein Cross-Site-Scripting-Angriff, bei dem schädlicher Code dauerhaft auf einem Server gespeichert wird und bei jedem Besuch einer Seite ausgeführt wird. Bei Persistent XSS werden bösartige Skripte in Datenbanken (z. B. Forenposts, Kommentarfelder) abgelegt und bei späteren Seitenaufrufen an alle Besucher ausgeliefert. Diese Attacke ist gefährlicher als Reflected XSS, da sie wiederholt und breitflächig Benutzer gefährdet. Angreifer können so Session-Cookies stehlen, Keylogger injizieren oder Drive-by-Downloads initiieren. Gegenmaßnahmen sind serverseitiges Escaping aller Benutzereingaben (Context-sensitive Encoding), Versionierung von Vorlagen-Engines, Einschränkung von HTML-attributiven Skript-Tags und Einsatz einer strengen Content Security Policy (CSP), die inline-Skripte blockiert und nur vertrauenswürdige Skriptquellen erlaubt.