добавляется злоумышленником в тело страницы (посредством форм ввода - текстовых полей, инпутов, contenteditable- элементов на сайте Классический пример – форумы, на которых разрешено оставлять комментарии в HTML формате без ограничений, а также сайты, которые хранят пользовательские тексты и отображают их в «сыром» виде.