Ho una casella di testo che effettua una chiamata a un'API ogni volta che il testo è cambiato. L'API restituisce JSON ma esegue qualsiasi Javascript all'interno del JSON restituito (testato con Alert ()). Questo valore di casella di testo non è persistente, pertanto il salvataggio non determina un XSS memorizzato. Se il Javascript viene incollato nella casella di testo, viene automaticamente codificato e reso sicuro, è vulnerabile solo se lo script è digitato.
Oltre a un attacco di phishing in cui l'utente digita uno script nella casella di testo, ci sono altri attacchi che possono essere eseguiti da questo punto? Questo auto-XSS può essere incatenato a un altro attacco o è essenzialmente valido solo per il phishing?