Типы Cross-Site Scripting
На ранних этапах развития веб-безопасности выделяли Stored XSS и Reflected XSS.
Позже добавили DOM Based XSS, и появились более общие категории: Server XSS и Client XSS.
Reflected XSS
Ввод возвращается сервером в ответ без экранирования.
Stored XSS
Payload сохраняется на сервере и выполняется у всех пользователей.
DOM XSS
Выполняется через небезопасные DOM-операции в браузере.
Server XSS
Ошибка на стороне сервера при формировании HTML.
Client XSS
Ошибка в JavaScript при работе с DOM.
Почему это важно
Современные XSS часто комбинируют server + client атаки.