XSS (Cross-Site Scripting) ist eine Schwachstelle in Webanwendungen, bei der Angreifer bösartigen JavaScript-Code in Seiten einschleusen, die von anderen Benutzern aufgerufen werden. Es gibt drei Varianten: Reflected XSS, Stored XSS und DOM-based XSS. Im ISMS ist XSS ein typisches Risiko für Webanwendungen, das durch Input-Validierung, Output-Encoding und Content Security Policy (CSP) adressiert wird. Eine WAF kann zusätzlichen Schutz bieten. XSS zählt regelmäßig zu den OWASP Top 10.