Eine DOM-Based XSS Schwachstelle erlaubt das Einbinden von z.B. JavaScript-Code in eine Webseite. Sie tut dies jedoch nicht wie Reflected XSS und Persistent XSS mittels der Webanwendung auf dem Server, sondern macht sich hierfür Fehler in einem JavaScript der Anwendung zu Nutze. Die Schwachstelle wird deswegen DOM-Based genannt, weil clientseitiges JavaScript Zugriff auf das Document Object Model (DOM) einer Webseite hat, und somit auch Zugriff auf die aufgerufene URL.