1.反射性XSS

反射型xss的意思是说，攻击者将构造好的payload注入，提交信息给服务器之后再次返回给浏览器端时，并被浏览器误解析执行，以更改当前网页上的某些信息（如链接），或者使浏览器执行某些脚本。所以黑客往往需要诱使用户“点击”恶意链接才能攻击成功。因此反射型xss也被称之为非持久性xss。

2.存储型XSS

存储型xss是指像留言板、用户名称等一些会存储在服务器端的信息，当攻击者在存在xss漏洞的留言板处进行注入之后，任何浏览器端加载该信息的时候都会将其中的恶意代码解析，进而触发xss攻击。该方法甚至可以在管理员审核留言时触发，进而造成管理员敏感信息的泄露。因为其存储在服务器端，因此造成的危险程度、攻击范围比反射型更大更广。

3.DOM型XSS

DOM型xss是基于html的dom文档来说的，攻击者通过注入JavaScript的脚本，利用相应的函数修改网页的DOM结构，进而修改网页的某些信息，本质上也是一种反射性xss，后来便单独分成了一类。