Se uno degli usi comuni di XSS è quello di rubare i cookie che verranno inviati al server dell'attaccante, non è così facile identificare l'aggressore?
Ad esempio, non è come un SQLi che puoi sfruttare usando VPN e catene di proxy. In questo caso devi fornire un URL che puoi controllare per recuperare l'host, quindi puoi essere facilmente rintracciato. Mi sbaglio?