让我们说在我的网站上,在您登录后,您只在“仅限会员”栏目中,我将从您之前放入的数据库中提取一些数据并将其显示在页面上。如果只有你能看到它,你可以恶意注入你之前输入的js代码吗?
所以在我的网站上你可以放
<script>alert('hi')</script>
进入您的地址,例如在显示您地址的页面上,这确实会运行,但这是您放入的内容,只有您可以看到它。
所以我试图决定我应该如何关注这一点,但我无法想象用户可以将自己的数据添加到他们自己的数据中,只有当他们想要伤害其他用户时才会出现这些数据。
答案 0 :(得分:-1)
您需要防范CSRF,以确保一个用户不通过其他站点的CSRF XSS另一个用户
被欺骗进入自我XSS仍然是一个问题。以下是一个示例:http://www.exploit-db.com/download_pdf/17017/