Гуру подскажите, возможно ли заюзать пассивную xss как-то в таком варианте:

Есть некая post форма авторизации по ajax, возвращаются данные с xss. Казалось бы - всё прекрасно, отправляй клиента с post-ом на ajax обработчик и радуйся. Но возвращаемые ajax данные - Content-Type: text/xml; не исполняется там js, текстом выводит.

Как быть? Всё шляпа? Ничего не возможно придумать?

Привет. Реально.

Ранее на ЯД'Е находил подобного рода xss.

Удалось забайпасить и сдать по ББ.

Пример Payloada(полезной нагрузки):

Удачи!

на рдоте видел некоторые вариации на тему

https://rdot.org/forum/showthread.php?t=2427

Огроменнийшее человеческое спасибо! Нагрузка работает, остальное дело техники ))

Попался мне очень наглый-наглый хам и я ему пообещал, что за свой грязный рот он будет наказан. Как бэ не люблю разбрасываться обещаниями впустую)

Да, там тоже есть это решение. Спасибо!