Ko uporabnik naslednjič obišče ranljivo spletno stran, se XSS avtomatično izvede. Za razliko od odsevnega XSS, kjer mora uporabnik dejansko klikniti povezavo. Trajni XSS se pogosto uporablja v napadih na spletne aplikacije Web 2.0. SLIKA1-trajni XSS .png; Tako deluje trajni napad XSS.