To atak, w którym napastnik wstrzykuje złośliwe skrypty (np. JavaScript) do aplikacji internetowej, które są następnie wykonywane po stronie przeglądarki użytkowników. XSS może prowadzić do kradzieży danych (np. ciasteczka sesyjne), oraz do wykonania nieautoryzowanych operacji w kontekście zalogowanego użytkownika systemu.