DOM (Document Object Model) je vmesnik brskalnika, ki opisuje predmetno zgradbo spletne strani in omogoča dinamično urejanje posameznih elementov. Posebnost pri DOM-based XSS je, da se celotni napad izvede krajevno v brskalniku. Napadalec dejansko ne potrebuje spletnega strežnika z ranljivo aplikacijo.