Xss (Cross-Site Scripting)
XSS (Cross-Site Scripting) ist eine Sicherheitslücke, bei der Angreifer schädlichen JavaScript-Code in Webseiten einschleusen und diesen dann bei
XSS (Cross-Site Scripting) ist eine Sicherheitslücke, bei der Angreifer schädlichen JavaScript-Code in Webseiten einschleusen und diesen dann bei Besuchern ausführen. Ein Angreifer könnte beispielsweise über ein Kommentarfeld bösen Code einschleusen, der bei jedem Leser ausgeführt wird und dessen Daten stiehlt. Aus SEO-Perspektive ist XSS relevant, weil Google mit dem Safe Browsing-System solche kompromittierten Websites erkennt und in den Suchergebnissen mit Warnung markiert.
Der Mechanismus funktioniert so: Der Angreifer findet eine Eingabestelle (Kommentar, Formular, URL-Parameter) und injiziert dort JavaScript-Code. Dieser wird von Google gecrawlt und erkannt, oder den Besuchern wird der schädliche Code serviert. Google bemerkt das – durch User-Meldungen oder automatische Sicherheitschecks – und klassifiziert die Website als „gehackt” oder „unsicher”. Die Website wird dann in den SERPs mit roter Warnung angezeigt, was zu dramatischen Traffic-Verlusten führt.
In der Praxis sollten Website-Betreiber XSS-Lücken ernst nehmen: Alle Benutzereingaben müssen validiert und vor der Ausgabe bereinigt werden. WordPress-Nutzer sollten ihre Plugins regelmäßig updaten, da die meisten XSS-Angriffe über veraltete Plugins erfolgen. Im Falle einer Kompromittierung muss die Seite bereinigt und das Safe Browsing-Review bei Google beantragt werden – andernfalls bleibt die Warnung bestehen und SEO-Traffic fällt massiv.
Über den Autor
Christian SynoradzkiSEO-Freelancer
Mehr als 20 Jahre Erfahrung im digitalen Marketing. Fairer Stundensatz, keine Vertragsbindung, direkter Ansprechpartner.
Alle Begriffe finden Sie im SEO-Glossar.