セキュリティ専門家Bill Rios氏は米国時間4月14日、Google Spreadsheetを利用したクロスサイトスクリプト（XSS）攻撃により、 Googleの全サービスが無防備になると発表した。XSSは利用者が入力したデータを正しくフィルタリングしていない合法サイトを利用した攻撃法で、攻撃者に悪意ある命令を実行される恐れがある。しかし、今回のケースでは、いずれかのxxxx.google.comサイトへのアクセス情報が漏れれば、 Gmail、Docs、CodeなどのGoogleサービスへのアクセスにも影響が及ぶ。

同氏によると、Internet Explorerを使ってGoogle Spreadsheetを利用する際、サーバから戻されるHTTPレスポンスのコンテンツタイプを変更できたという。問題は、ある環境下でブラウザがコンテンツタイプヘッダを無視する点にある。同氏は、いかなるブラウザも条件によってはコンテンツヘッダを無視することがあり、したがってこれはGoogle だけの問題ではないと指摘した。

同氏のブログによると、Google Spreadsheetで最初のセルにalert (document.cookie)というスクリプトをHTMLタグで囲んで入力したという。これを保存して、CSVファイル形式のファイルとしてダウンロードしようとすると、コンテンツタイプはtext/plainとなる。文字列にHTMLが含まれているため、Internet Explorerはそれに基づき入力内容をHTMLとして解釈してしまうという。
したがって、一般のユーザーがこのURLを開いてしまうと、攻撃者のディスプレイにはalertダイアログボックスが表示され、ユーザーがそのとき利用していたGoogleセッションの情報が表示される。もしこのセッションクッキーはユーザーが利用するGmailやDocsなどのGoogleサービスでも有効だ。