↑
Запутавшимся, советую почитать Владимира Кочеткова,
https://habr.com/company/pt/blog/149152/
Желательно всю статью, но если по теме вопроса, то раздел "
XSS бывает пассивной и активной
". По сути, есть две категории, первая — место хранения payload'a (серверсайд/клиентсайд - stored/reflected), вторая — условия срабатывания (те самые активные и пассивные, требующие или нет определённого действия от пользователя). Stored != Активная, Reflected != Пассивная. На выходе имеем четыре вариации XSS атаки. (+ DOM based в хвосте, но всем плевать)