Какие основные отличия между отраженным XSS и сохраняемым XSS?

Основное отличие между отражённым XSS и сохраняемым XSS заключается в том, как доставляется и выполняется вредоносный код. ru.eitca.org

Отраженный XSS (непостоянный XSS) возникает, когда внедренный код внедряется в параметр URL-адреса или поле ввода формы. ru.eitca.org Вредоносный код затем возвращается обратно в браузер пользователя, не сохраняясь на сервере. ru.eitca.org При таком типе атаки атаке подвергается только тот, кто перешёл по ссылке со скриптом. habr.com

Сохраняемый XSS (постоянный XSS) предполагает внедрение вредоносного кода, который постоянно хранится на целевом сервере. ru.eitca.org Этот тип уязвимости возникает, когда предоставленные пользователем данные хранятся в базе данных или файле, а затем извлекаются и отображаются на веб-страницах без надлежащей очистки. ru.eitca.org Внедренный код затем передаётся каждому пользователю, который обращается к затронутой странице, что увеличивает потенциальное воздействие атаки. ru.eitca.org

Таким образом, при отраженном XSS атаке подвергается меньший круг пользователей, при сохраняемом XSS — любой, кто посетил страницу, на которой разместили вредоносный скрипт. habr.com