Reflected XSS

Eine Cross-Site-Scripting-Schwachstelle, bei der Schadcode über die URL an den Server gesendet und sofort an den Benutzer zurückgegeben wird. Reflected XSS tritt auf, wenn user-gelieferte Daten (z. B. in Query-Parametern, Formularfeldern) ohne ausreichendes Encoding direkt in den HTML-Output eingebunden werden. Angreifer versenden präparierte Links an potenzielle Opfer—etwa per Social Engineering—die beim Klick den Schadcode ausführen. Der Angriff ist nicht dauerhaft, da der schädliche Skript nur in der Antwort auf die spezifische Anfrage existiert. Gegenmaßnahmen sind kontextabhängiges Output-Encoding (z. B. HTML-Entity-Encoding für <, >, &), Einsatz von Websecurity-Headern (CSP) und automatisierte Scans mit DAST-Tools, um reflektierte XSS-Pfade zu identifizieren. Zudem sollte geprüft werden, ob alle Benutzereingaben über Whitelists validiert werden.