Ho letto le nuove categorie di XSS. Secondo OWASP , non sono più solo riflessi, memorizzati e basati su DOM XSS, ma piuttosto server / lato client, quindi suddiviso in rispecchiato / memorizzato.
Secondo il sito, l'XSS basato su DOM è solo una sezione specifica di XSS lato client. Non sto seguendo la distinzione tra DOM e non lato client XSS. Ogni XSS lato client che posso pensare coinvolge il DOM. Capisco come posso avere un XSS lato client DOM persistente e non persistente, ma quale sarebbe un esempio di XSS lato client non DOM (riflessa e archiviata)?