Но в статье написано что если появляется "'\ то уязвимость есть. Значит в medium есть уязвимость, не так ли?

Если просто в medium вписать скрипт который отсылает куки на снифер то куки не придут , а в low придут , а если после того что я вписал скрипт в low и поменял на medium ничего не стирая то и я захожу в ту гостевую с xss то мне приходят куки от medium. Это о чем то говорит?

И как различить если на сайте активная или пасивная xss , если каждый раз выскакивает алерт значит активная , а если один раз - пасивная? или как? (долго над этим думал но никак догнать не могу)

Что я сделал не так с пасивной xss ? почему мне не пришли куки? Это из за того что если уже есть активная то пасивная работать не будет? (в активной все работает)

Спасибо за ответы.