Cuando ingresas algo en una barra de búsqueda y se ejecuta, se llama XSS reflejado porque la carga útil se refleja desde la URL (por ejemplo, https://example.com?search=[javascript code]
). Si se almacenara y se mostrara a otros en el futuro, se llamaría XSS.
Leí que tu pregunta es algo así como: "¿Es el XSS reflejado realmente tan peligroso ya que solo se ejecuta en mi computadora?"
Está en lo cierto: XSS reflejado solo se ejecutará en el navegador de la persona que visita el enlace, en este caso usted. Hacer un XSS reflejado en ti mismo es un poco inútil, ya que solo necesitas presionar F12 para encender una consola si quieres ejecutar algún JavaScript en tu propia máquina.
Pero ahora piense qué pasa si crea una URL que engaña a otros para que la visite (envíela por correo electrónico, publíquela en Twitter, publíquela en un foro, etc.). Ahora el JavaScript será ejecutado en su navegador. Puede crear un enlace que registre las contraseñas ingresadas por el usuario que hace clic o que las cookies de los usuarios. Eso es algo peligroso.
Entonces, mientras que el XSS almacenado es posiblemente más peligroso que el XSS reflejado, el XSS reflejado sigue siendo un problema grave que debe solucionarse rápidamente si se descubre.