Php 如果只有同一用户会看到XSS输入，那么XSS输入是否是一种威胁？

如果恶意用户输入的XSS输入仅由他查看，那么恶意用户究竟能获得什么？他能得到什么

我理解当恶意用户输入将被所有站点用户查看时，XSS是一个怎样的问题。但是，如果每个用户只查看自己的输入，那么他的恶意输入将只被他查看，因此我的问题是：

• 这会以某种方式间接影响其他用户吗
• 他能从中得到什么

---

我想不是，但这不是A/B的事情。谁知道“XSS”的“脚本”部分做什么。可能攻击者在您的AJAX/javascript中发现了一个漏洞，并且正在使用XSS类型的攻击在您的主机上获取工具包。再一次，我们可以推测整天注射型攻击会带来什么伤害，底线是，如果你能防范它，就这么做。我们在这里所能想到的每一个技巧都将比攻击者使用的列表少一个技巧

---

为你能预测的做好准备，抵御已知的威胁。
作为一种直接威胁。。。可能什么都没有，因为他们无法完成任何他们无法直接完成的事情

---

但是它无论如何都应该被修复，因为可能几个月后需求会发生变化，或者新的开发人员会重新使用相同的代码，然后你就会遇到一个真正的问题。
是的，确实是这样。注射可以由第三方发起，如“Gumbo”指出的“< / P > < P > + 1”-反映了XSS，但也考虑了用户帐户被破坏的场景，攻击者提供恶意输入，当他或她返回网站时，将返回给合法用户。

---

另一个潜在的攻击向量…

< P>攻击者可以通过查看他所找到的XSS攻击向量来获得什么，只是：-但是！然后他可以使用这个攻击向量，有几种方法可以做到这一点。 如果它是一个非持久性XSS漏洞（aka reflected），则可能通过向潜在受害者发送链接（最有可能通过urlshortener进行模糊处理）。 如果它是一个持久的XSS漏洞（即，像我现在写的那样存储为注释），那么他只需发表文章并等待
现在，他所能得到的是一场大讨论。试想一下，如果你能在网页中插入一个脚本标签，你能做些什么。然后可以从服务器加载整个javascript文件
然后，恶意代码可能会窃取一些cookie（如果未设置这些cookie），并立即通过ajax将其发布到后端应用程序。这可能会通知攻击者，谁知道呢。这些cookie可能足以作为受害者登录到该网站
嗯..攻击者可以做很多事情..所以请消除您可能有的所有XSS漏洞
XSS漏洞主要利用人们对其他网站的信任。 不要低估依赖于网站对浏览器的信任（另一个大话题）和Sql注入攻击的漏洞
一些提示（我相信你对它了如指掌，但为了完整起见：
• 仅在用于验证用户身份的Cookie中设置httponly
• 将用户输入打印回输出时使用htmlentities
• 在将用户输入存储到数据库之前，请使用mysql\u real\u escape\u字符串
• 不要使用GET请求执行关键操作（即保存/删除/修改文章）。请使用POST（xsrf）
祝你好运
更新：
有几个工具可以帮助您：
• Chrome插件：Web安全
• Firefox插件：xss me
• Windows应用程序：NetSparker社区版（免费）
• X-platrofm:SkipFish，马鹿
• 内苏斯
（我推荐SkipFish）
我想你是在问：
• 反射（XSS）代码是否可以 之前对其他访客的影响 分发链路-即在测试期间
  及

• 这样的测试有什么好处 为恶意用户实现

如果我读对了，我的答案如下：
• XSS是关于运行客户端的 代码-通常是JavaScript-在 不知情用户的浏览器和 将有 除了通过 通过链接分发， 说服用户输入它 直接或找到一种方法 保持在给定页面上
  如果你问它是否可以 导致某种形式的命令执行 在服务器上，这可能是命令注入，而不是命令注入 而不是XSS；恶意用户会 两者都需要足够幸运 发现网站使用的 服务器端JavaScript可能不好 他们在编码方面做得够多了 实际上完全在做某事 与他们的想法不同
  无论如何，这都需要 网站易受此表单攻击 不属于注射范围 XSS是关于什么的

• 如果我们说的是XSS，测试允许 恶意用户必须正确地进行手工操作 他们的最终代码/链接就是这样 尽可能的隐蔽并且 不管他们想干什么坏事 对
  除非某人或某个系统 密切注意日志 例如，对于多个奇怪的HTTP请求， 恶意用户将能够 完善他们的开发，以便 他们的推特/电子邮件/任何信息 它有预期的效果

---

HTH
@0xAli他不是在说重定向。他只是说“以一种直接的方式”@0xAli：我的意思是，如果用户注入了只有他自己才能在登录时看到的javascript代码，那又有什么意义呢？他可以在自己的计算机上使用浏览器工具在任何站点上运行任意javascript。