Zgornji primer hipotetičnega spletnega iskalnika, pri katerem smo iskalni niz preuredili s <script> značko, je idealni prikaz odsevne metode XSS. Taki napadi največkrat pridejo v obliki spletne povezave (t. i. GET Request XSS), le-ta je seveda ustrezno »maskirana« in tako deluje manj sumljivo. Napadalci pogosto uporabljajo znane prijeme: URL escaped encoding, UTF-7 encoding, UTF-8 encoding ..., pri katerih zlonamerni niz preprosto prepišejo z ustrezno kodno tabelo.