کدهای اسکریپت (javascript و vbscript) اگر چه امکانات خوبی را برای طراحان سایت و برنامه های تحت وب فراهم کرده اند ولی راهی برای نفوذ هکرها نیز باز نموده اند. هکر ها از طریق تزریق کدهای اسکریپت مخرب به برنامه وب، قادر به انجام اعمال خرابکارانه ای چون سرقت نشست کاربران مجاز و نفوذ به سرورهای وب خواهند بود. بر اساس گزارشی از سازمان OWASP در سال 2010 نزدیک به 40 درصد حملات رخ داده علیه برنامه های وب متعلق به حملات XSS بوده است.

در حملات تزریق (Injection) همانطور که از نامشان مشخص است، کاربر بدخواه با تزریق کد و یا کوئری به برنامه های وب به اهداف بدخواهانه خود دست می یابد. در حملات تزریق SQL نیز، کاربر بدخواه به جای ارسال داده های معتبر، داده های کوئری ( SQL Query ) را به سرور وب ارسال کرده، سرور وب و پایگاه داده آن را مورد حمله قرار داده و به اطلاعات محرمانه آن دست می یابد. کاربر بدخواه قادر به انجام اعمال مخربی چون ورود غیر مجاز به سیستم، دستیابی و یا تغییر اطلاعات موجود در پایگاه داده و ... خواهد بود.

IIS 7 به صورت ویژه امکاناتی در خصوص مدیریت امنیت فراهم نموده است