Hola veo que estas un poco perdido en el tema... Cuando tu hablas de XSS escritos en un archivo, te refieres a XSS estáticas. Estos sin duda son el tipo mas peligrosos pues pueden afectar a todos los visitantes de la pagina afectada, esta se produce cuando no validas apropiadamente los valores ingresados de un usuario.
Por ejemplo imagina un sistema de comentarios o un blog, las entradas del blog son presentadas de la siguiente manera:
Código PHP:
<div> <? echo $mensaje; ?> </div>
Entonces un atakante intentara subir un post que contendra el siguiente codigo
Código:
<script type="text/javascript">
window.location="http:\\dominio_atakante.com"
</script>
con la finalidad de cada ves que sea presentado su mensaje o entrada del blog, el codigo del mismo quede asi:
Código PHP:
<div>
<script type="text/javascript">
window.location="http:\\dominio_atakante.com"
</script>
</div>
Otra variante es que la inyeccion no sea permanente, por ejemplo un cuadro de busqueda el que se pasa la palabra buscada a traves de GET
http://buscador.com?palabra=XXXXXX
donde muestras un cuadro que diga:
Código HTML:
<div>
<h3> Resultados busqueda: <? echo $_GET['palabra'];?> </h3>
<!-- RESULTADOS DE LA BUSQUEDA -->
</div>
En este caso igualmente puedes inyectar codigo, pero no sera permanente. Para poder hacer uso de esto debes enviar el enlace a la victima, quedando algo asi:
http://buscador.com?palabra=<script type="text/javascript">window.location="http:\\dominio_atakan te.com"</script>
Es importante saber que ambos metodos son peligrosos y deben ser evitados. Para mas info te dejo unos link
http://es.wikipedia.org/wiki/Cross-site_scripting http://foro.elhacker.net/tutoriales_...-t32042.0.html http://es.kioskea.net/contents/attaq...scripting.php3
Saludos.