Ogni volta che un'applicazione sta creando HTML da un input controllato da un attaccante diventa un vettore per XSS. Ad esempio, le applicazioni HTML5 / JS sulle piattaforme Tizen e WebOS possono essere soggette a XSS tramite qualsiasi numero di vettori, tra cui Bluetooth, e-mail, tag NFC dannosi e qualsiasi altra cosa si possa immaginare. Poiché JavaScript sta creando HTML, questo rientra nella categoria più ampia di XSS basato su DOM .
Come partecipante al programma Bug Bounty di Google ho trovato XSS in Google Music caricando un file mp3 con JavaScript nei tag ID3. L'applicazione stava visualizzando il nome dell'album e il nome della band sulla pagina, e questo era abbastanza.