漏洞关键信息 漏洞类型: Client-side DOM XSS 受影响版本: { alert('Hello'); return 1; })() }) ``` - 结果是JavaScript被立即执行,如截图所示。 影响 受影响的浏览器中可执行任意JavaScript: - 通过日志进行帐户/会话劫持。 - 从UI(聊天历史、文件、可见于DOM的秘密等)中窃取数据。 - 使用受害者的会话通过应用程序内部API进行未授权操作。 - 如果有效载荷被保存(聊天历史),它就会成为存储型XSS并影响以后的任何查看者。如果不保存,它就是反射型DOM XSS,仅影响当前查看者。