Von einer Reflected XSS Schwachstelle (oder reflektierten XSS-Schwachstelle) spricht man dann, wenn ein Übergabeparameter in einem HTTP Request einer Webanwendung ungefiltert wieder in die Antwort HTML-Seite eingebunden wird. Sollte nun ein Angreifer z.B. HTML- oder JavaScript-Code in den Übergabeparameter einfügen, so wird dieser in die Antwortseite eingebunden und ausgeführt. Dies ist beispielsweise bei Fehlermeldungen sehr häufig der Fall, bei denen der “fehlerhafte” Parameter wieder angezeigt wird.