第三者のWebサーバーやWebアプリケーションを利用して悪意のあるスクリプトを送り込める脆弱性。2000年にCERT/CCがセキュリティ勧告を出して注意を喚起した問題で、CGIやASPなどのWebアプリケーションのコーディングの不具合によっても発生する。複数のサイトを経由してスクリプトを送り込み、Cookieなどの登録情報を盗み出すことから「クロスサイト」と呼ばれ、WebクライアントとWebサーバーの信頼関係を利用してWebクライアント上でスクリプトを実行させる。