恶意代码未经过滤，与网站正常的代码混在一起，浏览器无法分辨那些脚本是可信的，导致恶意脚本被执行。

而由于直接在用户的终端执行，恶意代码能够直接获取用户的信息，或者利用这些信息冒充用户向网站发起攻击者定义请求。

在部分情况下，由于输入的限制，注入的恶意脚本比较短，但可以通过引入外部的脚本，并有浏览器执行，来完成比较复杂的攻击策略。