Self-XSS hoạt động bằng cách lừa người dùng sao chép và dán nội dung độc hại vào bảng điều khiển dành cho nhà phát triển web trên trình duyệt của họ.[1] Thông thường, kẻ tấn công đăng một thông báo lừa người dùng sao chép và chạy một số mã nhất định để phần thưởng ảo hoặc hack một trang web. Trên thực tế, đoạn mã này cho phép kẻ tấn công chiếm đoạt tài khoản của nạn nhân.[2]