存储型XSS与反射型XSS有什么区别？

存储型XSS，持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，加入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie等。如：人人网又一大波蠕虫，位置在首页+登录就中招+通杀网页和人人桌面



反射型XSS，非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。
如下面这个点击弹出自己的在该网站的cookie：

http://search.bbs.tom.com/bbs.jsp?q=%22%2F%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E%20&cmd=1&sort=3&ty=1

具体概念，请楼主自行google，baidu。 这里我想说的是这个世界对于反射型xss是不公平的，不管是甲方还是乙方很多人相比存储型XSS更加bs反射型xss。其中一个比较大的理由就是说“反射型xss”要“点击”等交互，才能触发，其实“交互性”本身就是web2.0时代的一个显著的特点，也就是交互不交互在xss利用里并不是什么关键点。 一个很好的说明，我曾经在我们80vul的主站上挂了1年多的xss 都是反射的，只有一个人和我反馈过（当然可能有人发现了也没说啥） 

不过有一个点还是要强调的，反射的xss 因为url特征更加容易被防御。很多浏览器都有自己的xss过滤器。

存储型XSS也好，反射型XSS也罢。xss的本质问题就是让对方浏览器执行你插入的js 想明白这点后你发现 2者分类没太多的区别。

微博上有个博友 提出一个比喻：“地雷和枪比较的概念吧，一个要踩，一个要练好枪法。”

附上我的回文：“这个比喻是不怎么恰当的，反射也好存储xss也好，都是要对方浏览器访问并执行了你插入的js才行，说到底都2个都是雷，sql注射、远程溢出那说是枪比较恰当。竟然都是雷，你就得让敌人触发。而这个对于雷来说 就是它本身得一个特点，就好像交互性本来就是web2.0得特点一样”