Da es bisher keine standardisierte Definition gibt, findet man zum Teil unterschiedliche Ansätze, was nun genau alles unter den Begriff Cross Site Scripting fällt. Gemeinsam ist jedoch immer das Angriffsszenario, bei dem versucht wird, schädlichen Programmcode in eine Web-Anwendung einzubetten, der dann auf der Client-Seite ausgeführt wird.
Verwandte Szenarien versuchen den Programmablauf auf der Server-Seite zu beeinflussen. Sicherheitslücken können z.B. ausgenutzt werden, um den Server zu veranlassen, fremden Programmcode zu laden und auszuführen. Benutzt die Web-Anwendung eine Datenbank, so kann durch Manipulation der SQL-Befehle versucht werden, Einträge in der Datenbank zu verändern oder Abfrageergebnisse zu fälschen.
Die beiden letzten (auf dem Server ablaufenden) Szenarien, werden nicht überall zum Cross Site Scripting dazugezählt. Da sie dem Standard-Szenario, aber sehr ähnlich sind, sollen sie im folgenden auch betrachtet werden.