Beim XSS (Cross-site-scripting) handelt es sich um schadhafte Scripts, die auf eine normalerweise vertrauenswürdige Webseite eingeschleust werden. Meistens handelt es sich dabei um ein JavaScript, welches z.B. Daten aus Cookies auf dem Client Computer ausliest und an einen externen Server weiterleitet. XSS zielt also in erster linie direkt auf die Besucher deiner Webseite, nicht auf den eigenen Server.
XSS lässt sich durch sinnvolles validieren von sämtlichen externen Eingabemethoden verhindern. Dies sind in erster Linie Formulareingaben und URL Parameter, aber auch "Server"-variablen wie z.B. $_SERVER['PHP_SELF'] müssen beachtet werden. PHP bietet dafür verschieden Funktionen wie z.B. htmlspecialchars() oder strip_tags() an, die meisten anderen Programmiersprachen die es betrifft bieten gleichwertige Funktionen.
Das ist nur ein sehr grober Überblick, am besten bemühst du mal Google zum Thema, es gibt viele gute Tutorials dazu, wie man sich gut gegen XSS und andere Angriffsarten schützen kann.
