Blind XSS workflow
入力直後は実行されず、管理者 console、通知、log viewer、CRM など後続画面で実行される payload を追跡します。
HTML payload テスト
このシナリオは iframe sandbox ではなく、ユーザー入力が HTML/DOM にどう描画されるかを検証します。
- user/admin/operator/mail/log surface に同じ rendering policy を適用するか確認
- callback に secret を含めず、実行時刻と surface のみ記録するか確認
- stored XSS を delayed surface の test case として扱うか確認
Payload
コピーする payload
許可されたテストでは自分が所有する callback endpoint に置き換えます。
プレビュー
このプレビューは学習用に意図的に unsafe rendering を行います。実サービスでは payload はテキストとしてエスケープされるか除去されるべきです。
ログ
// ログなし
解説
- Blind XSS は入力者の画面では何も起きず、管理者 tool、通知、mail、log view で後から実行される stored XSS です。
- callback は自分が管理する endpoint のみを使い、cookie/token を送らず実行位置と時刻だけ記録します。
- 防御は user-facing 画面の sanitize だけでは不十分です。operator console、error report、CRM、email template にも同じ出力 policy が必要です。