хм, откровенно..хотя печально.
позволь обратится к твоему опыту.
меня ты пнул за пассивку в сайте petrozavodsk.ru
Объясни, плз...
почему здесь
"><script>alert('document.cookie')</script>
является активной хсс

а тот же код, тянущий куки при регистрации на
petrozavodsk.ru - пассивная хсс?

Условно XSS можно разделить на активные и пассивные:
- при активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта;
- пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например клик по специально сформированной ссылке).