假设在我的网站上,在您登录后,您在仅成员部分,我将从数据库中提取一些数据,您放在那里之前,并显示在页面上。可以有一个恶意注入的js代码,你以前输入,如果只有你能看到它?
在我的网站上你可以输入
<script>alert('hi')</script>
输入到你的地址在显示你地址的页面上,这确实会运行,但这是你输入的东西,只有你能看到它。
所以我试着决定我应该对此有多关心,但我无法想象用户会在他们自己的数据中放入什么,这些数据只有在他们想要伤害另一个用户时才会出现。
-
您需要防止CSRF,以确保一个用户不会通过CSRF从不同的站点跨站攻击另一个用户
-
被骗进入self-XSS仍然是一个问题。下面是一个例子:http://www.exploit-db.com/download_pdf/17017/