Uma subcategoria de ataque do tipo XSS é caracterizada pelo envio de scripts maliciosos, como parâmetros de requisições a um website, explorando o fato de o conteúdo dessas requisições ser enviado de volta na resposta ao navegador sem tratamento adequado, tais como em mensagens de erro ou em exibição de strings de busca.

Essa subcategoria é conhecida como