Наэтот сайт (архивированный снимок) в разделе «Теория XSS» говорится:

хакер заражает легитимную веб-страницу своим вредоносным клиентским скриптом

Мой первый вопрос о прочтении этого вопроса: если приложение развернуто на защищенном сервере (как, например, в случае с банком), как хакер может получить доступ к исходному коду веб-страницы? Или он может внедрить вредоносный скрипт без доступа к исходному коду?