Los ataques de secuencias de comandos entre sitios (XSS) inyectan JavaScript malicioso en sus páginas, que luego se ejecuta en los navegadores de sus usuarios, y puede cambiar el contenido de la página o robar información para enviársela al atacante. Por ejemplo, como podemos ver en https://sofiart.es/programacion-web/, si muestra comentarios en una página sin validación, entonces un atacante puede enviar comentarios que contengan etiquetas de script y JavaScript, que podrían ejecutarse en el navegador de cualquier otro usuario y robar su cookie de inicio de sesión, permitiendo que el ataque tome el control de la cuenta de cada usuario que vio el comentario. Debe asegurarse de que los usuarios no puedan inyectar contenido JavaScript activo en sus páginas.

Esta es una preocupación particular en las aplicaciones web modernas, donde las páginas se construyen ahora principalmente a partir de contenido de usuario, y que en muchos casos generan HTML que luego también es interpretado por marcos de trabajo de front-end como Angular y Ember. Estos marcos de trabajo proporcionan muchas protecciones XSS, pero mezclar la representación de servidores y clientes también crea nuevas y más complicadas vías de ataque: no sólo es efectivo inyectar JavaScript en el HTML, sino que también se puede inyectar contenido que ejecutará código mediante la inserción de directivas Angular o el uso de ayudantes Ember.