拜Internet爆炸性的成長、現代瀏覽器的複雜、動態執行語言的數量，及混亂的信任模型，提供了好幾種在初期捕捉瀏覽器的控制方法，往後隨著瀏覽器的進步，也將出現更多種方法

使用跨站點腳本攻擊

早期靜態網站中出現的第一個動態語言"JavaScript"，雖然為web帶來新的突破，卻也早早出現了惡意程式碼注入案例，最早由CERT/CC提出的惡意行動包括

• Cookies中毒
• 披露敏感的資訊
• 違反起源基礎的安全性策略
• 改造web表單
• 暴露SSL的加密內容

引起種種作用的被稱作為XSS(Cross-site Scripting)
有許多種的XSS，但從廣義上來講，只影響瀏覽器/伺服器的其中一邊

• 反射式XSS
  最為常見的XSS形式，再提交不受信任的資料時，馬上丟出回應，在頁面反應不可信的內容，常常在URL的部分加入自行混淆的參數內容使人點擊

• URL混淆方法
  1. URL縮短器
  2. URL重定位器
  3. URL-或ASCII-編碼字元
  4. 在中間或結尾加入一寫額外、不相關的查詢參數，伴隨著惡意的程式碼
  5. 在URL內以@symbol加入假的網域內容
  6. 轉換主機名稱為整數，例如:http://12345678

• 持久性XSS
  此種類型類似於反射式，差別在於持久型會保留在資料儲存區，而當拜訪網站的使用者瀏覽時，都會啟動注入的惡意程式
  除了資料庫儲存，有時也會改用日誌檔

• DOM XSS
  此種是純粹的客戶端XSS形式，不依賴web應用程式不安全地處理使用者提供的資料

• 通用XSS