Problem nastane, ko spletna aplikacija interpretira in posreduje tudi značke HTML (tags), vstavljene poleg samega iskalnega niza. Čeprav se v napadu XSS lahko dejansko uporabi veliko značk, je ena med njimi še posebej priljubljena: <script>. Ta namreč omogoča izvajanje javascriptne kode.