Stored XSS (persistentes Cross-Site Scripting) liegt vor, wenn ein Angreifer schädlichen JavaScript-Code in einer Webanwendung speichern kann — z. B. in einem Kommentarfeld, Forumsbeitrag oder Nutzerprofil. Jeder Nutzer, der die betroffene Seite aufruft, führt den Code unwissentlich aus. Im Gegensatz zu Reflected XSS wirkt Stored XSS dauerhaft und erreicht potenziell viele Opfer. Du verhinderst Stored XSS durch konsequentes Output Encoding und Content Security Policy (CSP). Im ISMS gehört Stored XSS zu den kritischen Webanwendungsschwachstellen und wird durch SAST, DAST und Penetrationstests abgedeckt.