Le truc c'est que le terme XSS est utilisé pour beaucoup de choses qui ne sont pas forcément du cross-site. Le plus souvent on utilise ce terme dès qu'on exécute du code d'origine externe qui peut provenir d'une injection de code (javascript, php, sql, ...) souvent au moyen de saisies formulaires ou de paramètres de requete mal sécurisées.