Il Cross site scripting avviene quando un'applicazione consente l'immisione di dati insicuri nella web page consentendo agli attaccanti di iniettare javascript nella pagina stessa.
Strumenti automatizzati possono rilevare e sfruttare tutte le forme di XSS e sono disponibili numerosi framework open source che ne permettono lo sfruttamento.
XSS è il secondo problema più diffuso nella OWASP Top 10 e si trova in circa due terzi di tutte le applicazioni.
Gli strumenti automatizzati possono trovare automaticamente alcuni problemi XSS, in particolare nelle tecnologie mature come PHP, J2EE / JSP e ASP.NET.
L'XSS consente l'esecuzione di codice remoto sul browser della vittima, come il furto di credenziali, sessioni o la delivery di malware alla vittima.