Zelo znan DOM-based XSS je bil pred časom odkrit v vtičniku PDF (www.wisec.it/vulns.php?=9). Zloraba je (bila) zelo preprosta: http://URL/datoteka.pdf#string=javascript:alert(»XSS«). Pomembno vlogo ima znak »#«, ki se pogosto pojavlja v DOM-based XSS izvedbah.