Может ли быть вредоносная атака XSS внутри раздела членов моего сайта?

Question

Допустим, на моем сайте, после того, как вы войдете в систему, вы попадете в раздел «Только для членов», и я извлеку некоторые данные из базы данных, которую вы поместили туда ранее, и отобразит их на странице. Может ли быть злонамеренная инъекция js-кода, который вы ввели ранее, если только вы можете его увидеть?

Так что на моем сайте вы можете поставить

<script>alert('hi')</script> 

в ваш адрес, например, и на странице, которая показывает ваш адрес, это действительно будет работать, но это то, что вы вставили, и только вы можете увидеть его.

Так что я пытаюсь решить, насколько я должен быть обеспокоен этим, но я не могу представить, что пользователь мог бы поместить в свои собственные данные, которые ему кажутся только в том случае, если он хочет причинить вред другому пользователю.

Answer 1

1. Необходимо защитить от CSRF, чтобы убедиться, что один пользователь не использует XSS другого через CSRF с другого сайта

2. Быть обманутым в self-XSS все еще проблема. Вот пример: http://www.exploit -db.com / download_pdf / 17017 /