Tak napad je tipičen predvsem za spletne aplikacije Web 2.0 (npr. Ajax), kjer se veliko programske kode (JavaScript in Java) izvaja v uporabnikovem spletnem brskalniku.
Slika2; Shema lokalnega napada XSS
Pri lokalnem napadu XSS strežnik spletnemu brskalniku posreduje le skripto z razpoko/hroščem, ne pa tudi zlonamerne programske kode.