Отражается или не сохраняется, потому что пользовательский ввод не сохраняется между запросами, он передается обратно непосредственно пользователю в ответ на запрос, содержащий полезную нагрузку XSS. Сервер «отражает» собственные входные данные пользователей обратно на них.
Постоянным XSS будет: пользователь регистрируется и передает XSS-платежную ведомость в какое-то хранилище данных, такое как база данных, и эти данные возвращаются на последующий запрос. Этот тип XSS может позволить одному пользователю отправлять полезную нагрузку, которая выполняется по запросу другого пользователя.