Persistente Cross-Site Scripting Schwachstellen sind den Reflected Cross-Site Scripting Schwachstellen sehr ähnlich. Beide führen z.B. ein JavaScript eines Angreifers im Kontext einer Webanwendung aus und erlauben somit den Zugriff auf Informationen der Webanwendung, die normalerweise nur dem jeweiligen Benutzer zur Verfügung stehen. Der Unterschied zwischen einem persistenten XSS und einem reflektierten XSS (reflected XSS) besteht darin, dass ein Benutzer nicht auf einen präparierten Link eines Angreifers klicken muss, um Opfer eines Angriffs zu werden. Beim persistenten Cross-Site Scripting ist es einem Angreifer möglich, den JavaScript-Code dauerhaft auf einer Webseite zu platzieren. Besucht nun ein Benutzer die entsprechende Webseite, so wird das JavaScript in die Seite eingebunden und kommt somit zur Ausführung.