Quando inserisci qualcosa in una barra di ricerca e viene eseguito, viene chiamato XSS riflesso perché il carico utile viene riflesso dall'URL (ad esempio https://example.com?search=[javascript code]
). Se fosse memorizzato e visualizzato in un secondo momento, sarebbe quello che viene chiamato, XSS memorizzato.
Ho letto la tua domanda come qualcosa del genere: "L'XSS riflesso è davvero così pericoloso dal momento che gira solo sul mio computer?"
Hai ragione nel ritenere che XSS verrà eseguito solo nel browser della persona che visita il link, in questo caso tu. Fare un XSS riflessivo su di te è un po 'inutile, dal momento che devi solo premere F12 per attivare una console se vuoi eseguire JavaScript sul tuo computer.
Ma ora pensa a cosa potrebbe succedere se elabori un URL che ingannare gli altri per visitarlo (inviarlo in una email, pubblicarlo su Twitter, pubblicarlo su un forum, ecc.). Ora il JavaScript verrà eseguito nel proprio browser. È possibile creare un collegamento che registrerà le password inserite dall'utente che fa clic su di esso o che utilizza i cookie dell'utente. Questa è roba pericolosa.
Quindi, mentre XSS memorizzato è probabilmente più pericoloso di XSS riflesso, l'XSS riflesso è ancora un problema serio che dovrebbe essere risolto prontamente se scoperto.