Se gli annunci di terze parti sono incorporati come iframe, potrebbero essere utilizzati per attacchi di social e UI, simulando avvisi, pulsanti, campi di input per carte di credito o simili per ingannare l'utente. Ma con iframe non può essere usato per rubare dati utente dalla pagina originale. Se gli annunci sono invece incorporati come Javascript, la situazione peggiora ulteriormente, poiché in questo modo il codice degli annunci ha pieno accesso al tuo sito e può leggere e manipolare la pagina, che include la lettura di tutti i dati inseriti dall'utente.
Questo problema non è limitato solo alla pagina di checkout e non solo agli annunci, ma è pertinente ogni volta che includi librerie Javascript di terze parti nel tuo sito e quindi influisce anche sui pulsanti dei social media o simili. Se includi uno script di terze parti in una pagina che la terza parte può avere il pieno controllo di questa pagina, causa azioni con l'identità dell'utente attualmente connesso.