Skraćeno kao XSS, cross-site scripting je ranjivost koja napadaču omogućuje da unese zlonamjerni kôd (JavaScript) u skriptu web-lokacije. Kada se otkrije da je skripta ranjiva, napadač može poslati poruku e-pošte ili objaviti vezu na tu skriptu web-lokacije kako bi napao korisničko računalo.

• Izvršite JavaScript kod.
• Pristupite kolačićima pohranjenim na računalu da biste dobili pristup računu žrtava.
• Izradite lažne stranice za prijavu koje kradu pojedinosti za prijavu.
• Pristupite web-kamerama i mikrofonima koji su povezani s računalom.
• Zaobići sigurnost web-mjesta osmišljen kako bi zaštitio vas i vaše računalo.
• Stvorite skriptu koja skreće ili uzrokuje druge probleme koji uzrokuju rušenje preglednika.
• Pomognite drugim računalima da izvedu DDoS napad na drugom poslužitelju.
• Dajte izgled web-lokacije koja je oštećena.
• Pomoći distribuirati neželjenu poštu, prenositi novac ili izvesti druge radnje na korisničkom računu.

• Uvijek budite oprezni s vezama poslanim e-poštom i postavljenim na društvenim mrežama.
• Nikada nemojte kliknuti na izvješće o vezi da bi bilo s bilo koje financijske usluge ili drugih osjetljivih web-lokacija. Ako vaša banka, kreditna kartica ili srodna usluga želi da kliknete vezu, otvorite preglednik i unesite web-adresu u adresnu traku.
• Upoznajte se s taktikama phishinga.
• Kada završite s online prijavom, odjavite se.
• Svoj preglednik ažurirajte najnovijom verzijom.
• Upoznajte se sa svim načinima zaštite sebe dok ste na internetu.

• Uvijek pretpostavite da su svi podaci poslani u skriptu zlonamjerni.
• Pravilno kodirati, pobjeći i dezinficirati dostavljene podatke.
• Izbjegnite citat (") s" i jedan citat (') s' kako biste spriječili bijeg.
• Prihvatite samo podatke koje trebate. Primjerice, ako je polje za ime, prihvatite samo slova od A do Z i obrišite sve brojeve i druge znakove.
• Nikada nemojte prihvatiti i pokrenuti JavaScript kôd iz nepouzdanog izvora.
• Prihvaćene podatke nikada ne stavljajte u