Przykład do rozdziału 3.5. - cross site scripting. Uruchom plik form.html i w formularzu wprowadĽ jeden z poniższych przykładów:
Przykładowe teksty, które można wprowadzić do formularza form.html:
Znacznik IMG i atrybut src. Nie zadziała na IE 7.0 i FF 2.0, na starszych może:
Znacznik BODY, nie przefiltrowany zawsze zadziała:
Mutacja nr 1 przykładu z BODY:
Mutacja nr 2 przykładu z BODY:
Mutacja nr 3 przykładu z BODY:
Kod XSS nie musi uruchamiać się przy ładowaniu, może być przemycony po jakiejs akcji użytkownika, np. kliknięciu w link.
Oto Przykład ze znacznikiem A i atrybutem href, obydwa mog± być legalne, ale nieprzefiltrowany protokół javascript może spowodować XSS:
I tak dalej... Przykłady można mnożyć prawie w nieskończonosc...