Eneste sitio (instantánea archivada) bajo "The Theory of XSS", dice:

el hacker infecta una página web legítima con su script malicioso del lado del cliente

Mi primera pregunta al leer esto es: si la aplicación se implementa en un servidor que es seguro (como es el caso de un banco, por ejemplo), ¿cómo puede el pirata informático acceder al código fuente de la página web? ¿O puede inyectar el script malicioso sin acceder al código fuente?