Considere o exemplo escrito em HTML:



Se a mensagem for simplesmente exibida ao usuário sem efetuar a validação (escaping), a seguinte URL poderia ser criada:



Causando um problema de vulnerabilidade conhecido como