那个支付宝xss是个啥？

 今天一个XSS🔥上天了。

就是下面这个

然而我想了下 支付宝上线肯定SDL了。

后来看了下 大家都是可以发的，好奇的我点开了我的支付宝发现压根就没有，所以这个漏洞不是互相影响的。

所以第一直觉肯定是一个DOM XSS。

这里引入一个概念 localstorage

这个本地数据库适合缓存一些内容来减少服务器的请求，我第一个感觉就是本地的东西被修改了，然后页面直接读取到了localstorage 展示出来。

那么问题来了 这个危害是什么？ 

在我看来是0……  没啥鸟用，利用率还不如手机掉了被人拿到然后破解登录密码 使用你的支付宝的几率高

如果你去看下支付宝的一些header设置 你会发现……

支付宝还是很牛逼的啊  前端大佬还是很屌的。。。打开浏览器 看看支付宝的设置 还有cookie  等域的划分  能学到不少。。。。

能从它的域下拿到一点敏感数据还是……有点困难的。。。

本文始发于微信公众号（xsser的博客）：那个支付宝xss是个啥？