Taki napadi največkrat pridejo v obliki spletne povezave (t. i. GET Request XSS), le-ta je seveda ustrezno »maskirana« in tako deluje manj sumljivo. Napadalci pogosto uporabljajo znane prijeme: URL escaped encoding, UTF-7 encoding, UTF-8 encoding ..., pri katerih zlonamerni niz preprosto prepišejo z ustrezno kodno tabelo. Omenjeni načini URL prikrivanja so sicer bolj znani pod nazivom URL obfuscation.