У них они называются stored (хранимая, по-нашему активная) и reflected (отражаемая, по-нашему пассивная). Из подчёркнутых слов суть разницы между ними должна стать яснее.
Интересно, почему в английском нормальные термины - а у нас по-дурацки как всегда сделано=) Назвали бы тоже хранимая XSS и отражаемая, а лучше так и бы писали по иглишу stored и reflected XSS, выглядило бы и правильней, и презентабельней. А то активная, пассивная... Смысл слов не особо раскрывается.

ЗЫ: подразумевается, что активная xss выполняется всегда после открытия страницы какого-либо ресурса. Но есть же "хранимые" xss которые хранятся на сервере, но срабатывают только лишь по событию... Значит это тоже будут активки. Хех, есть распространенное убеждение и стереотип, что активка - всемогущая xss, которая сразу же запускается, выполняя произвольный javascript-код, при открытии страницы. А оказывается, по определению, все может быть далеко не так... В некоторых случаях пассивка может быть эффективней активки. Вот такой вот парадокс.