? ? ? ? 本篇純文字發表自己對自插型xss的看法

　　 selfxss，顧名思義，自己輸入xss腳本，輸出僅自己看到，僅xss到自己。

　　 常見的有：查詢框的xss、某個賬號中，添加自己的分組類等

　　 查詢框的xss：

　　 即在查詢框輸入什么，則在輸出的頁面返回什么，然后沒有過濾或編碼引發，插入腳本后，彈出彈框，但刷新頁面后又沒有了，這種就為selfxss；當然有些系統有歷史查詢記錄這個功能，為了用戶體驗而設計，刷新頁面后可能繼續彈框，因為歷史查詢數據緩存在瀏覽器或微信上，但也是只有當事人才看得到，也就是作案者同時也是受害者。

　　 之前一直以為selfxss沒卵用（可能是看了不健康的安全論壇）。

　　 但由于有了csrf這種思路，打破了selfxss沒卵用的神話。

　　 大致可以總結為，selfxss只不過是要自己輸入腳本post提交，如果我把腳本寫在一個post的html里，然后引誘別人點擊提交呢？好像有種反射xss的味道，效果又跟反射xss一樣，一點就出事~原理上其實就是csrf。

　　 一般這種查詢框基本不會做csrf防護……所以selfxss的防止還是很有必要！！

　　?

?

轉載于:https://www.cnblogs.com/4wheel/p/8462881.html

總結

以上是生活随笔為你收集整理的跨站脚本攻击（selfxss）笔记（三）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。