Kakor smo že omenili: operacijski sistem, arhitektura, brskalnik ali spletna aplikacija ne igrajo nobene omembe vredne vloge pri sami zaščiti. Nepomemben je celo sam jezik, v katerem je napisana spletna aplikacija: PHP, perl, ASP, JSP, CFM,, ..., vsi so enako dovzetni za napade XSS. Druga težava je sam javascript.