DOM XSS
Injection via location.hash → innerHTML
Tambahkan payload setelah # di URL. Contoh: #<img src=x onerror=alert(1)>
Reflected XSS
Pantulan langsung parameter kata
Payload di cerminkan tanpa filter di form “Hasil”.
Self-XSS
Menjalankan input yang kamu ketik
Textarea dirender sebagai HTML/JS di area hasil.
Stored XSS
Simpan & tampilkan komentar tanpa filter
Komentar disimpan di file dan ditampilkan lagi (auto-hapus bila >10 menit).