Коротше кажучи, уразливості XSS виникають, коли вхідні дані, що надходять у веб-додатки, не перевіряються та/або виведення в браузер не екранується належним чином перед відображенням. Три найпоширеніші типи атак XSS: постійний, відображений і на основі DOM..
Другий і найпоширеніший тип XSS Відображений XSS (непостійний XSS). У цьому випадку корисне навантаження зловмисника має бути частиною запиту, який надсилається на веб-сервер. Потім він відображається таким чином, що відповідь HTTP включає корисне навантаження із запиту HTTP.
Вразливі транспортні засоби, які зазвичай використовуються для атак міжсайтових сценаріїв, є форуми, дошки оголошень і веб-сторінки, які дозволяють коментарі. Веб-сторінка або веб-додаток є вразливими до XSS, якщо вони використовують несанкціоновані дані користувача у вихідних даних, які генерують. Браузер жертви має проаналізувати введені користувачем дані.
Найбільш серйозні атаки XSS включають розкриття файлу cookie сесії користувача, дозволяючи зловмиснику захопити сеанс користувача та заволодіти обліковим записом.
На відміну від інших векторів атак, таких як SQL-ін’єкції, XSS не націлений на програму безпосередньо — він націлений насамперед на користувача. XSS є одна з найпоширеніших уразливостей веб-додатків.
Збережений XSS, відображений XSS і XSS на основі DOM є трьома найпоширенішими типами міжсайтових скриптових атак. Вони відрізняються залежно від того, впливають вони на серверну чи клієнтську сторону веб-програми.