Zloraba je (bila) zelo preprosta: http://URL/datoteka.pdf#string=javascript:alert(»XSS«). Pomembno vlogo ima znak »#«, ki se pogosto pojavlja v DOM-based XSS izvedbah. Čeprav napad poteka prek spletnega strežnika, ima ta zgolj vlogo pasivnega posrednika.