Un utente Internet può inconsciamente eseguire script maligni quando naviga tra collegamenti ipertestuali di cui non conosce l'origine presenti all'interno di pagine web, di messaggi di posta elettronica oppure di newsgroup.
Può sembrare una esagerazione ma in realtà si tratta di una forma di attacco particolarmente subdola poiché usando una tecnica chiamata "cross-site scripting" un aggressore può, in alcune circostanze, riuscire ad incorporare all'interno di pagine web generate dinamicamente (come ad esempio quelle prodotte da un qualsiasi motore di ricerca) dei collegamenti ipertestuali contenenti script maligni opportunamente nascosti all'interno dei comuni tag html.
Quando l'ignaro utente clicca sul collegamento esso finisce per inviare, oltre alla sua richiesta, anche il codice incorporato: a questo punto se il server web non si preoccupa di validare l'input ricevuto oppure non adotta alcun meccanismo per assicurare che la pagina generata sia stata propriamente codificata esso restituirà una pagina html contenente il codice incorporato che verrà automaticamente eseguito dal client esponendo quest'ultimo a pericolose falle di sicurezza che possono comportare:
- l'accesso completo a qualsiasi informazione, comprese quelle di carattere confidenziale, fornite al server web;
- l'invio contestuale di informazioni confidenziali anche ad altre pagine o siti web;
- l'alterazione dell'apparenza o del normale funzionamento delle pagine web;
- la rivelazione di dati usati da particolari meccanismi di autenticazione dal momento che l'esecuzione dello script può precedere l'instaurazione di una connessione protetta;
- l'avvelenamento dei cookies in modo da rendere l'attacco di tipo persistente: in particolar modo se il sito web vulnerabile usa un campo del cookie per generare dinamicamente le proprie pagine, la modifica del cookie stesso può far sì che tutti i futuri accessi al medesimo sito, persino se effettuati sulla base di collegamenti ipertestuali "puliti", siano compromessi;
- l'accesso non autorizzato da parte dell'aggressore ai dati di un server web vulnerabile posto all'interno della stessa intranet in cui si trova il client tramite la costruzione ad hoc di URL;
Dunque questa tipologia di attacco deriva il suo caratteristico nome dalla circostanza che una sorgente inietta del codice nocivo all'interno delle pagine web generate da una fonte differente ma, comunque, il fulcro di questa particolare tecnica è costituito da una violazione della fiducia derivante dal fatto che lo script "iniettato" viene eseguito in un contesto di apparente legittimità in quanto sembra provenire dal sito con il quale l'utente ha instaurato una connessione ed al quale egli si dimostra particolarmente interessato.