Cross-Site Scripting (XSS) erasoak injekzio-erasoak dira: script gaiztoak exekutatzen dira bestela onak eta konfiantzazkoak izango liratekeen webguneetan. XSS erasoak gertatzen dira erasotzaileak web-aplikazio bat erabiltzen duenean kode gaiztoa bidaltzeko –normalean nabigatzailearen aldeko script gisa– beste erabiltzaile bati. Eraso horiek arrakasta izateko bidea ematen duten hutsegiteak nahiko hedatuta daude, eta erabiltzaile baten sarrera eskatzen duen web-orri ororen edozein funtziotan gerta daitezke.
Erasotzaile batek XSS erabil dezake erabiltzaile bati script gaizto bat bidaltzeko. Azken erabiltzailearen nabigatzaileak ezin du jakin scripta ez dela konfiantzazkoa, eta exekutatu egingo du. Scripta konfiantzazko iturri batetik datorrela uste duenez, script gaiztoa edozein cookietara, saio-lekukotara edo nabigatzaileak kudeatutako eta webgune horrekin erabilitako beste edozein informazio sentikorretara sar daiteke. Script horiek HTML orriaren edukia ere berridatz dezakete.
Hasiera batean, bi XSS mota nagusi identifikatu ziren: XSS biltegiratua eta XSS islatua. 2005ean, hirugarren XSS mota bat definitu zen, DOMen oinarritutakoa:
XSS biltegiratuta (iraunkorra, I motakoa edo Stored XSS gisa ere ezagutzen da) normalean erabiltzailearen sarrera helburuko zerbitzarian biltegiratzen denean gertatzen da, hala nola datu-base batean, mezu-foro batean, bisitarien erregistroan, iruzkinen eremuan, etab. Erasotzaile batek datuak sartu ondoren, biktima gai da biltegiratutako datuak web-aplikaziotik berreskuratzeko datu horiek nabigatzailean errenderizatzeko seguruak izan gabe. HTML5 eta beste teknologia batzuk iritsitakoan, erasoaren karga erabilgarria biktimaren nabigatzailean egitea prebeni daiteke.
XSS islatua (ez-iraunkorra, II motakoa edo Reflected XSS gisa ere ezagutzen da) gertatzen da erabiltzailearen sarrera web-aplikazio batek itzultzen duenean errore-mezu batean, bilaketaren emaitza batean edo erabiltzaileak eskaeraren zati gisa emandako sarreraren zati bat nahiz sarrera osoa jasotzen duen beste edozein erantzun, datuak erabiltzailearentzat seguruak ez direnean. XSS biltegiratua ez bezala, ez da beharrezkoa eskaeraren datuak zerbitzarian gordeta egotea.
DOMen oinarritutako XSS motari (0 mota edo DOM Based XSS gisa ere ezagutzen da) dagokionez, kutsatutako datuen fluxu osoa biktimaren nabigatzailean gertatzen da. Adibidez, jatorria orriaren URLa edo HTML elementu bat izan daiteke, eta abiarazlea, berriz, exekuzio gaiztoa eragiten duen metodo sentikor bati egindako deia.
