Какие виды XSS существуют и чем отличаются?

Reflected XSS: скрипт в URL параметре, отражается в ответе и выполняется. Требует перехода жертвы по вредоносной ссылке. https://site.com/search?q=. Stored (Persistent) XSS: скрипт сохраняется в базе (комментарий, профиль) и выполняется у всех кто открывает страницу. Наиболее опасный. DOM-based XSS: JavaScript читает данные из URL/document.location и вставляет в DOM без отправки на сервер. Обходит серверную фильтрацию. Тестируем: все поля ввода, URL параметры, Headers.