Egy nem kívánt műveletet hajt végre a támadó.
Lehetséges utalás:
https://bank.example/transfer?to=123456&amount=100
Egy hamis weboldalon a következő láthatatlan kép van.
<img src="https://bank.example/transfer?to=123456&amount=100" width="0" height="0">
Az XSS futtatáshoz teszteléséhez használjuk az alert() helyett a print() utasítást. Újabb Google Chrome böngészőkben az alert() alapból tiltva van a böngészők közötti figyelmeztetésben, ifrmae-en belül.