Um ataque CSS (cross-site scripting) permite que conteúdos scripts em uma zona sem privilégio sejam executados com permissão de uma zona privilegiada, ou seja, que se alterem os privilégios no cliente (web browser) ao se executar o script.