Stored XSS zafiyet vektöründe saldırı payload’u genellikle sunucu tarafında (özellikle veritabanlarında) tutulur. Cookie’lerden kaynaklanan Stored XSS ise tam tersine saldırı payload’larını istemci tarafında tutmaktadır.
Konu ile ilgili kısa bir araştırma yazısına http://docs.google.com/Doc?id=d4w2g9c_6ghjb5fgj linkinden ulaşılabilir.