关于xss:这个不是XSS反射型漏洞吗

背景

有人问了个问题：这个不是XSS反射型破绽？为什么？

而后他发了个录屏给我看。

录屏次要内容是上面这样的：

失常在网站搜寻什么，search接口就会返回搜寻到的数据列表。

比方在网站中搜寻"xss"，search接口就返回几条xss相干的数据。

他是这样做的：

他在网站中输出了"xss"，而后通过fiddler工具，把这个search接口的响应内容改了。

比方在其中的一条数据，嵌入了XSS攻打代码。

比方上面的代码：

<img src='x' onerror='alert(/ice/);'/>

而后他看到网站弹窗了，就感觉本人胜利的找到了XSS破绽，而且是反射型破绽。

我说：其实，这个不是XSS反射型破绽。

详情： https://mp.weixin.qq.com/s?__...

有问题可群征询：
https://public-1253796280.cos...