Hallo,

Hab beim Thema Cross-Site-Scripting etwas Verständniss-Schwierigkeiten.
Baue ich zb. mit einem Google API eine Webapp, dann geschieht doch dabei eigentlich die ganze Zeit eine Art von XSS, oder?

Nein. XSS wäre es wenn ...

Ich binde dabei JavaScripts ein die bei Google liegen. Habe ich danach Aktionen auf meiner WebApp (zb. ein Move in einer Google Map) führt das doch doch dazu, dass Daten mit Google augetauscht werden.

Warum gibt es hier keine Probleme mit XSS?

... du eine Schwachstelle in Googles Anwendung ausnützen würdest um dieser Fehlerhaften Kode zu übergeben um so deinen eigenen Kode zu erzeugen.

Ganz gut erklärt ist das z.B. unter: http://www.heise.de/security/artikel/print/38658 und in http://www.cgisecurity.com/articles/xss-faq.txt

Grüße
Thomas