Uporabnik s klikom povezave (GET) ali spletnega gumbka (POST) pošlje strežniku ustrezno "malformiran" zahtevek, strežnik zahtevek interpretira in posreduje uporabniku, kjer se izvede zlonamerna koda. Slika: SLIKA0-odsevni XSS.png; Tako deluje odsevni napad XSS.