Основное отличие между отражённым XSS и сохраняемым XSS заключается в том, как доставляется и выполняется вредоносный код. 4

Отраженный XSS (непостоянный XSS) возникает, когда внедренный код внедряется в параметр URL-адреса или поле ввода формы. 4 Вредоносный код затем возвращается обратно в браузер пользователя, не сохраняясь на сервере. 4 При таком типе атаки атаке подвергается только тот, кто перешёл по ссылке со скриптом. 5

Сохраняемый XSS (постоянный XSS) предполагает внедрение вредоносного кода, который постоянно хранится на целевом сервере. 4 Этот тип уязвимости возникает, когда предоставленные пользователем данные хранятся в базе данных или файле, а затем извлекаются и отображаются на веб-страницах без надлежащей очистки. 4 Внедренный код затем передаётся каждому пользователю, который обращается к затронутой странице, что увеличивает потенциальное воздействие атаки. 4

Таким образом, при отраженном XSS атаке подвергается меньший круг пользователей, при сохраняемом XSS — любой, кто посетил страницу, на которой разместили вредоносный скрипт. 5