Todo depende del pais, en chile el tema es dificil, un xss normal puede ser totalmente ilegal porque los jueces son tan brutos que no saben diferenciar de un celular y un zapato. Por lo contrario en rusia y estados unidos es totalmente legal siempre y cuando no se comprometa la integridad del servidor.

De todas formas siempre está la posibilidad legal de guardar la página utilizando el menú "guardar como" del explorador y desde ahi testear el xss reflejado y sería totalmente legal en todos los paises porque estás dando a ejecución de un script guardado en tu computadora.

El XSS reflejado es ejecutado e interpretado en tu explorador por lo tanto no estas invadiendo nada, te estas invadiendo tu propio explorador nada mas, por lo contrario si es persistente ahi el panorama cambia ya que estarás afectando a los visitantes y puede que afectes la integridad del servidor (ya que recordemos que un xss puede hasta robar sesiones de administración).

Ahora también es distinto si es un xss reflejado y lo publicas, otros lo pueden utilizar para robar sesiones y tu serás el autor intelectual de los ataques por colaborar a la difusión de la falla. En otras palabras n debería ser ilegal hasta que lo publiques, despues de eso no se que pasa.

Deberias documentarte legalmente dependiendo del pais donde estes.