Cada vez que una aplicación crea HTML a partir de una entrada controlada por un atacante, se convierte en un vector para XSS. Por ejemplo, las aplicaciones HTML5 / JS en las plataformas Tizen y WebOS pueden estar sujetas a XSS a través de cualquier número de vectores, incluidos Bluetooth, correo electrónico, etiquetas NFC malintencionadas y casi cualquier otra cosa que pueda imaginar. Debido a que JavaScript está creando el HTML, esto se incluye en la categoría más grande de XSS basado en DOM .
Como participante en el programa Google Bug Bounty encontré XSS en Google Music subiendo un archivo mp3 con JavaScript en las etiquetas ID3. La aplicación mostraba el nombre del álbum y el nombre de la banda en la página, y eso fue suficiente.