Self-XSS（自跨站脚本攻击）详解

最新推荐文章于 2026-01-22 16:07:03 发布

原创

最新推荐文章于 2026-01-22 16:07:03 发布 · 1.1k 阅读

标签

#web安全

收录于

Self-XSS（Self Cross-Site Scripting）是一种特殊类型的 XSS（跨站脚本攻击），其特点是 攻击者只能在自己的浏览器或账户环境中触发恶意脚本，无法直接危害其他用户。因此，它通常被归类为 低风险漏洞（如P5），但在特定场景下可能与其他漏洞结合升级为高危漏洞。

1. Self-XSS 的原理

普通XSS：攻击者注入恶意脚本（如JavaScript），当其他用户访问受影响页面时，脚本在其浏览器中执行（窃取Cookie、钓鱼等）。

Self-XSS：攻击者只能在自己的页面或账户中触发XSS（例如：修改自己的个人资料、邮箱等字段）。无法直接影响其他用户，除非诱骗他们执行相同操作（如社工手段）。

2. 典型场景

（1）用户可控输入字段
例子：
用户可以在个人资料页的“简介”或“邮箱”字段输入XSS payload（如<script>alert(1)</script>），但只有自己访问该页面时才会触发。

<!-- 用户修改自己的邮箱为恶意脚本 -->
<input type="email" value="<svg/onload=alert(1)>">

当用户查看自己的资料时，XSS触发，但其他用户看不到。

（2）浏览器扩展/开发者工具
某些网站允许通过浏览器控制台（Console）或插件注入JS代码，但仅限于当前用户会话。

例子：某些论坛允许用户自定义CSS/JS，但仅对自己生效。

3. 为什么Self-XSS通常是低风险？</

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

YoungLime

关注关注

16
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

挖洞经验 | self-xss的进化之路

weixin_40418457的博客

05-04

2976

本文涉及漏洞点： 1、self-xss 2、scheme 跳转 3、URL 跳转 4、CSRF 5、JSONP 挖掘过程分解：一、挖掘背景介绍在某次冲浪过程中，随手测试了一下这个系统的预览功能，点击预览会生成二维码，需要手机QQ扫描才能访问预览界面。随手点击F12修改HTML源码，插入XSS代码再次扫描二维码预览，触发XSS。原本以为这就结束了，直到换了一个账户，扫描之后才发现进坑了，这是一个self-xss，无奈洞是自己挖的，无论如何也要利用起来。二、self-xss的上位之路 1.首

CSRF+Self XSS

newlife1441的博客

08-16

766

CSRF，跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。。防御原理：由于服务端没有对客户端进行身份校验，所以我们可以通过添加令牌token、验证码等方法来防御csrf；CSRF 利用的是网站对用户浏览器的信任。Self XSS，自己输入xss脚本,输出仅自己看到,仅xss。............

参与评论您还未登录，请先登录后发表或查看评论

self-XSS漏洞SRC挖掘

2301_80127209的博客

04-10

660

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。免费领取安全学习资料包！渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等应急响应笔记学习路线。

初识XSS漏洞

qq_68163788的博客

01-14

2474

xss的产生原因：编写的代码没有对用户输入的内容进行危险字符的过滤和检测，导致用户输入恶意内容，导致不安全事件。跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击！

实战 | 记一次实战中SelfXSS+CSRF+越权漏洞的组合拳

lza20001103的博客

10-23

1685

实战 | 记一次实战中SelfXSS+CSRF+越权漏洞的组合拳

谈论 PHP与 XSS的关系

weixin_55767624的博客

11-30

1413

PHP与XSS脚本攻击的关联性，以及典型案例，用XSS代码去破解网页

针对$_SERVER[’PHP_SELF’]的跨站脚本攻击（XSS）

weixin_30900589的博客

05-08

107

　　现在的web服务器和开发工具虽然不会再出现像asp的%81那样明显的漏洞了，但是由于开发人员的疏忽和各种语言特性组合造成的一些奇异的漏洞仍然会存在。今天偶然读到的XSS Woes，就详细讲述了和$_SERVER[’PHP_SELF’]相关的一个危险漏洞。　　$_SERVER[’PHP_SELF’]在开发的时候常会用到，一般用来引用当前网页地址，并且它是系统自动生成的全局变量，也会有什么问题...

信息安全之XSS攻击

绣花针

03-19

642

目录一、简介二、案例三、防范一、简介 Cross-Site Scripting（跨站脚本攻击）简称 XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。为了和 CSS 区分，这里把攻击的第一个字母改成了 X，于是叫做 XSS。 XSS...

%3cscript放入php,针对$_SERVER[‘PHP_SELF’]的跨站脚本攻击（XSS）

weixin_39855568的博客

03-26

177

现在的web服务器和开发工具虽然不会再出现像asp的%81那样明显的漏洞了，但是由于开发人员的疏忽和各种语言特性组合造成的一些奇异的漏洞仍然会存在。今天偶然读到的XSS Woes，就详细讲述了和$_SERVER[‘PHP_SELF’]相关的一个危险漏洞。$_SERVER[‘PHP_SELF’]在开发的时候常会用到，一般用来引用当前网页地址，并且它是系统自动生成的全局变量，也会有什么问题么？让我们先...

PHP漏洞全解(三)-xss跨站脚本攻击

稻草人技术博客

12-11

2351

本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码，当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求，如诈骗性的电汇请求、修改口令和下载非法的内容等请求。XSS(Cross Site Scripting)，意为跨网站脚本攻击，

PHP $_SERVER[’PHP_SELF’]

mtzai的专栏

02-21

883

珍藏多年的搜黄抠妹版软件-男人必备，今天拿出来分享要的速度：电信官方下载点一电信官方下载点二网通官方下载点一网通官方下载点二 diannaopptv xiazaiuusee xiazaijingmeitupianusee,uusewuxian REQUEST_URI 返回的是包括后面数据串的地址，如 index.php?str=1234 PHP_SELF 是 index.php

XSS 攻击（详细）攻击类型、攻击技巧、攻击工具与平台、防御方法

最新发布

m0_71745484的博客

01-22

1144

本文全面介绍了XSS（跨站脚本）攻击的相关知识。首先概述了XSS攻击的基本概念和危害，包括窃取用户数据、会话劫持等。随后详细分析了四种XSS攻击类型：反射型、存储型、基于DOM型和Self-XSS，并通过代码示例展示了漏洞原理。文章还深入探讨了XSS攻击技巧，如编码绕过、事件处理程序等，并介绍了XSS攻击工具和蠕虫案例。最后重点阐述了XSS防御方法，包括输入过滤、CSP策略、框架安全处理等，为Web安全防护提供了系统性的解决方案。

XSS 攻击在它的面前都弱爆了！

wangpeng198688的专栏

11-19

464

虽然双十一刚刚过去不久，但是对很多工程师来说，连续熬夜加班的「噩梦」似乎还没有过去。尤其是像双十一这种活动，对于电商网站的工程师们来说，他们需要彻夜的加班加点来保障网站的稳定性和安全性。当然，面对上千亿的销售额，更是让所有的电商平台工程师们，对安全问题不敢有任何一丝丝的怠慢。

XSS跨站脚本攻击介绍

99度灰的博客

12-05

5700

一、XSS漏洞简介 XSS（Cross Site Script）即跨站脚本，攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID等。总而言之，前端能做的事情它都能做到。XSS可分为反射型，存储型和DOM型。

全面掌握XSS漏洞攻击，实战案例从Self-XSS到账户接管，以及通过参数污染的XSS实现攻击

代码讲故事

12-19

1513

全面掌握XSS漏洞攻击，实战案例从Self-XSS到账户接管。什么是跨站脚本攻击 (XSS)？ 跨站脚本攻击（XSS）是一种网络安全漏洞，允许攻击者破坏用户与易受攻击的应用程序之间的交互。它允许攻击者绕过同源策略，该策略旨在将不同的网站隔离开来。XSS漏洞通常允许攻击者伪装成受害者用户，执行用户能够执行的任何操作，并访问用户能够访问的任何数据。 XSS是如何工作的？ 跨站脚本攻击通过操纵易受攻击的网站使其向用户返回恶意JavaScript来工作。当恶意代码在受害者的浏览器中执行时，攻击者可以完全破坏网站。

Uber三个鸡肋漏洞的妙用

swordheart的博客

04-26

306

0x00 简介作者通过精心设计，将一个鸡肋的的self-XSS和两个鸡肋的csrf变成了一个高质量的漏洞。原文：Uber Bug Bounty: Turning Self-XSS into Good-XSS – Jack 在Uber一个设置个人信息的页面上，我找到一个非常简单且经典的XSS漏洞。设置项中随便修改一个字段为<script>alert(document.domain);</script>就可以执行并弹框。一共花了两分钟找到这个漏洞，但是我们要来点更有

实战：盒子的self-xss（盒子已忽略）

anlalu233的博客

07-05

1522

盒子的self-xss是我在提交一个其他网站的xss时，编辑框输入了xss代码，没想到盒子弹窗了。我惊喜地想没想到盒子自己竟然有洞，然后我兴高采烈地提交了盒子，盒子很快回复了我说该漏洞已知晓，self-xss不存在危害性，故忽略。我一盆凉水浇下来。（小声说：盒子一看到自己平台的洞审核超快，第二天就审核回复我了，而我另一个同时间提交的xss漏洞还没审核emmmm）图片 ...

跨站脚本攻击（selfxss）笔记（三）

weixin_30807677的博客

02-23

2251

本篇纯文字发表自己对自插型xss的看法　　 selfxss，顾名思义，自己输入xss脚本，输出仅自己看到，仅xss到自己。　　常见的有：查询框的xss、某个账号中，添加自己的分组类等　　查询框的xss：　　即在查询框输入什么，则在输出的页面返回什么，然后没有过滤或编码引发，插入脚本后，弹出弹框，但刷新页面后又没有了，这种就为selfxss；当然有些系统有历史查...