Cross-Site Script Inclusion (XSSI)، نامی تا حدودی ناشناخته، نوعی آسیب پذیری را مشخص می کند که از این واقعیت سوء استفاده می کند که وقتی منبعی با استفاده از تگ اسکریپت گنجانده می شود، SOP اعمال نمی شود. بنابراین یک مهاجم می تواند همه چیزهایی را که با استفاده از تگ اسکریپت گنجانده شده است بخواند.

این امر به ویژه هنگامی که صحبت از جاوا اسکریپت پویا یا JSONP به میان می‌آید، زمانی که اطلاعات به اصطلاح محیطی مانند کوکی‌ها برای احراز هویت استفاده می‌شود، جالب است. کوکی‌ها، مانند جعل درخواست بین‌سایتی (CSRF)، هنگام درخواست منبع از میزبانی دیگر، گنجانده می‌شوند.


XSSI می تواند بسته به محتوای داده های داخل اسکریپت به روش های مختلف مورد سوء استفاده قرار گیرد. داده‌های حساس در استفاده گسترده، داده‌های شخصی مانند ایمیل، آدرس پستی، تولد و غیره هستند. ساده ترین راه برای کسب سود، بررسی اینکه آیا کاربر وارد شده است (ورود اوراکل) است. اطلاعات به دست آمده همچنین می تواند برای حملات مهندسی اجتماعی و حملات خاص برنامه مورد استفاده قرار گیرد.​

هنگام جستجوی XSSI باید چهار موقعیت را تشخیص داد. اما خوشبختانه بهره برداری اغلب مشابه یا حتی یکسان است. می توانیم چهار حالت را از هم متمایز کنیم:

جاوا اسکریپت استاتیک (XSSI معمولی)
جاوا اسکریپت استاتیک، که تنها در صورت احراز هویت قابل دسترسی است
جاوا اسکریپت پویا
Non-JavaScript