XSS

O que é XSS (Cross-Site Scripting) — código rodando no navegador de outra pessoa

XSS faz uma string fornecida pelo invasor rodar 'como script' no navegador de outro usuário — direto para roubo de sessão e personificação. A defesa real é escapar na saída. Não desabilite o auto-escape do seu framework.