Blind XSS 工作流
追踪不会立即执行、但稍后在管理员控制台、通知、日志查看器或 CRM 中执行的 payload。
HTML payload 测试
该场景测试用户输入在 HTML/DOM 中的渲染方式,而非 iframe sandbox 行为。
- 用户、管理员、运营、邮件、日志页面都应用同一渲染策略
- callback 不携带敏感信息,只记录执行时间和表面
- 把存储型 XSS 当作 delayed surface 测试用例管理
Payload
要复制的 payload
授权测试时替换为你自己拥有的 callback endpoint。
预览
此预览为了学习目的故意执行 unsafe rendering。真实服务中,该 payload 应被转义为文本或移除。
日志
// 无日志
说明
- Blind XSS 在提交者页面可能没有任何反应,却会稍后在管理员工具、通知、邮件或日志视图中执行。
- 只使用你控制的 callback endpoint,不发送 cookie/token,仅记录执行位置和时间。
- 防护不能只覆盖用户页面。运营控制台、错误报告、CRM、邮件模板也需要相同输出策略。