Pri obeh vrstah napadov je aplikacija, ki ima razpoko v varnosti/hrošča, v strežniku. Drugače pa so tudi napadi, ki se v celoti izvajajo v uporabnikovem računalniku ‐ to vrsto napada imenujemo lokalni napad XSS (angl. local XSS attack). Tak napad je tipičen predvsem za spletne aplikacije Web 2.0 (npr. Ajax), kjer se veliko programske kode (JavaScript in Java) izvaja v uporabnikovem spletnem brskalniku.