Une attaque par cross-site scripting commence lorsqu’un attaquant est en mesure de faire afficher du contenu de son choix sur un site web tiers (par exemple via des commentaires ou des messages privés qui seront lus dans un navigateur). Si le site web qui reçoit et affiche ces contenus ne procède pas à un filtrage suffisant, l’attaquant sera en mesure d’inclure des balises et du code (souvent Javascript, mais cela peut être n’importe quel langage pris en charge par les navigateurs) qui seront alors interprétés par tous les utilisateurs qui l’afficheront. Cela peut conduire à du vol de session (et ainsi permettre à l’attaquant de détourner les comptes de média sociaux des visiteurs, même si le site victime n’a rien à voir avec ces derniers), ou encore de rediriger les victimes vers de faux sites (hameçonnage, voir « Phishing »)
Mark Slemko, l’un des inventeurs de ce type d’attaque, à qui l’on faisait remarquer que le nom ne décrit pas vraiment son comportement, a répondu : « nous avions des choses plus importantes à faire sur le moment ». Depuis, de nombreux RSSI ont eux aussi tenté de l’utiliser pour se dédouaner lorsque leur site a été victime de XSS. Ils ne sont plus là pour en témoigner.