Estoy tratando de entender XSS. Tengo un conocimiento básico de XSS reflejado, almacenado y cómo deberían funcionar. En este caso particular, el código que inyecto se está devolviendo en el origen de la página, pero no aparece ningún mensaje emergente o aviso emergente como la alerta habitual.
Diga que me inyecte <script>alert("XSS")</script>
Pero puedo ver la cadena que pasé devolver en la fuente. ¿Es posible explotarlo? ¿Es seguro este comportamiento?
¿Alguien puede ayudarme, por favor, a entender esto?