Creo que definitivamente no lo es, porque XSS que no se guarda en ningún lugar dañaría SOLAMENTE al atacante.
¿Tengo razón o hay algún caso en el que XSS podría dañar la aplicación que no es de db? (Me refiero a que los datos no se guardan en ninguna parte)