Пассивные

Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например, клик по специально сформированной ссылке). Их также называют первым типом XSS.

Например: провоцируем пользователя запустить URL http://example.com/search.php?q=porn%3Cscript%3EDoSomething();%3C%2Fs cript%3E. Будет исполнен скрипт <script>DoSomething();</script> — если, конечно, сервер не принял никаких мер по его экранированию.
[править] Активные

При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы при открытии какой-либо страницы заражённого сайта. Их также называют вторым типом XSS.

Активному скриптингу подвержены сайты так называемого «веб 2.0» — форумы, блоги, гостевые книги и социальные сети.