除了XSS各種靈活變化之外，還有其他能夠一起搭配的方法控制

使用遭受危急的Web應用服務

尋找已經有漏洞如被SQL注入或可遠端程式執行的服務，嘗試取得存取權，成功取得可以修改包含惡意邏輯的內容
使得任何拜訪的瀏覽器都能執行注入的內容，能取得高訪客流量的服務，更能達到自己的目的

使用廣告網路

購買合法的廣告，但內嵌一段自己控制的JavaScript惡意代碼

社交工程攻擊

針對整個安全鏈最為薄弱的人力方面，策劃某種形式的詐欺騙局，使人執行動作或透露資訊，金融業為主要受害者之一
通常會利用網路釣魚技術建立目標的漏洞後，嘗試注入指令到目標瀏覽器當中

• 釣魚式攻擊
  一種用來詐騙取得線上服務使用者憑證的方法
  • 電子郵件釣魚
    寄給多位收件者，要受害者提供有價值的資訊回覆，也有包含惡意連結或附件在內的手法
  • 網路釣魚
    申請一個假網站冒充合法網站的，使受害者瀏覽並提入一些資料，為了誘拐受害者，常會利用釣魚郵件、即時通訊、SMS訊息，甚至是語音通話
  • 魚叉式釣魚
    通常是欺詐網站，但主要針對小型或特定目標設計誘惑的方式
  • 捕鯨
    與魚叉式釣魚同手法，但目標是中高階或高階管理人員

1. 第一階段：網站
   釣魚攻擊第一步先架設一個內含惡意程式的假網站，根據目標而制定，有可能是完全虛構亦或者是偽裝成合法的，提供比SPA還多內容更能降低目標的戒心，而有一些方法可以協助

• 從頭開始劍網站：適合魚叉式釣魚，不過較費時
• 複製修改既有網站：可以複製欲偽裝的網站，直接修改內容
• 複製既有網站：和前一點雷同，但此種不修改內容，大多騙取使用者資訊用
• 顯示錯誤頁面：只要呈現錯誤頁面即可，使得顯示伺服器錯誤，但背後瀏覽器同時執行惡意程式碼

倘若能找到合法web應用服務的XSS漏洞，直接當成釣魚網站，好處除了方便外對於受害者不可能懷疑網站URL，使得成功率更高