La mayoría de los ejemplos de XSS, he visto ejemplos de sitios web que han modificado su parámetro mediante el parámetro de consulta de URL. Por ejemplo:
http://example.com/param1=123¶m2=name¶m3=<script type='text/javascript'>alert('pwnd');</script>
Pero si la aplicación recibe su carga útil no a través del parámetro de consulta de URL, sino a través del cuerpo de solicitud posterior, ¿cómo puede el atacante atraer a la víctima para que realice xss simplemente proporcionando la URL para hacer clic? Definitivamente, puedes manipular los valores del cuerpo del mensaje insertando un código, pero eso no se considerará como XSS, ya que generalmente se realiza en aplicaciones como el Fiddler o Curl que no ejecuta el código de respuesta. Entonces, ¿cómo puede ocurrir xss en estas aplicaciones. Según tengo entendido, xss no conserva los datos en el servidor, sino que afecta al usuario que realiza dicha solicitud.