背景:我们使用了一个工具来扫描我们的系统。它发现了一个 XSS 漏洞。扫描步骤: 注入项目: POST: localeCountry <-- 这是一个枚举值,不能更改为 XSS 字符串并存储在服务器中。注入值:>'>alert("XSS warning!") 检测值:>'>alert("XSS warning!") 在攻击响应页面中检测到,在链接中找到。
我认为这是一个无效漏洞,因为注入的项目不会持久或影响其他用户。最好转义所有参数,但我想知道这个漏洞是否有效?
问题: 1. 这个漏洞有没有让其他用户点击你的XSS陷阱?