这个自XSS可以扩展吗？

Question

我有一个文本框，每当文本发生变化时，它都会调用API。API返回JSON，但在返回的JSON中执行任何Javascript (使用Alert()测试)。此文本框值不持久，因此保存不会导致存储的XSS。如果将Javascript粘贴到textbox中，则会自动编码并安全地呈现，只有输入脚本时才容易受到攻击。

除了用户在textbox中键入脚本的钓鱼攻击之外，还有其他攻击可以从这一点开始执行吗？这种自XSS是否可以链接到另一种攻击，或者它实际上只对网络钓鱼有效？

Answer 1

UI元素执行用户提供的JavaScript是不正常的或可接受的行为。虽然这些bug可能很难被利用，但它们需要修补，因为运行恶意JavaScript意味着全帐户接管。

UI补救(也称为点击劫持)可用于填充文本框。这项技术是用于在google上利用自己造成的XSS。可以使用X-Frame-Options标头元素来减轻这种攻击。

自我扭曲的javascript蠕虫已经在Facebook上传播。坏人总是试图说服用户做坏事。一些用户非常乐意朝自己的脚开枪，攻击者只需问一问。Facebook已经向我们展示了，要求用户复制/粘贴恶意文本就足以让蠕虫传播。

修好你那该死的虫子！