L'espressione "cross-site scripting" originariamente si riferiva unicamente ad attacchi basati sull'utilizzo di frammenti di codice [[JavaScript]] inseriti all'interno di una pagina web client-side (tecnica chiamata [[code injection]]) in modo che il server remoto eseguisse, operazioni diverse da quelle previste originariamente dall'applicativo web. Tale definizione gradualmente si è estesa ricomprendendo altre modalità di "iniezione di codice" basate non solo su [[Java (programming language)|Java]] ma anche su [[ActiveX]], [[VBScript]], [[Adobe Flash|Flash]], o anche puro [[HTML]] e query [[SQL]] (quest'ultima tecnica chiamata più diffusamente SQL Injection). Ciò ha generato una diffusa confusione nella terminologia riferita alla [[information security|Sicurezza Informatica]]: il termine, infatti, ricomprende oggi tutto un insieme di tecniche di attacco e non esclusivamente quella basata su manipolazione di codice JavaScript.<ref name=Grossman>{{cite web|author=Grossman, Jeremiah|title= The origins of Cross-Site Scripting (XSS)|url= http://jeremiahgrossman.blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html |date=July 30, 2006|accessdate=September 15, 2008}}</ref><ref name=Wikipedia>{{cite web|author=Wikipedia|title=Cross-site scripting |url=http://en.wikipedia.org/wiki/Cross-site_scripting}}</ref>
