Pri POST metodi URL parametri niso vidni v naslovnem polju brskalnika. Princip delovanja odsevnega XSS je v obeh primerih enak. Uporabnik s klikom povezave (GET) ali spletnega gumbka (POST) pošlje strežniku ustrezno "malformiran" zahtevek, strežnik zahtevek interpretira in posreduje uporabniku, kjer se izvede zlonamerna koda.