Есть xss на одном ресурсе, не получается определить тип.

Создаю новость, вписываю в тело страницы

При обновлении, вылетает пустой алерт. В исходнике не отображается вписанный код. Первая мысль, что это DOM-BASED, но вся соль в том, что я ява-скрипт не вписываю через адресную строку, следовательно мой код где-то сохраняется, но когда после вылета алерта открываю исходник, то эксплойта нет!

не подскажите, что за бред с xss?)