XSS injecteert kwaadaardige client-side scripts in pagina’s die anderen bekijken. Varianten zijn stored XSS (in database), reflected XSS (via URL) en DOM-based XSS. Voorkom dit met inputvalidatie, output-encoding/escaping, een strikte Content Security Policy en het sanitiseren van invoer.