✅ Musterlösung / Leitantwort
XSS ist ein Angriff, bei dem ein Angreifer schadhaften JavaScript-Code in eine Webseite einschleust, der dann im Browser anderer Nutzer ausgeführt wird (z.B. über ein Kommentarfeld). Unterschied: Stored XSS (dauerhaft in DB gespeichert), Reflected XSS (über URL-Parameter). Gegenmaßnahmen: konsequentes Output-Encoding (z.B. htmlspecialchars in PHP), Content Security Policy (CSP) im HTTP-Header, Input-Validierung serverseitig, HttpOnly-Flag für Session-Cookies.
