Tengo un cuadro de texto que realiza una llamada a una API cada vez que el texto ha cambiado. La API devuelve JSON pero ejecuta cualquier Javascript dentro del JSON devuelto (probado con Alert ()). El valor de este cuadro de texto no es persistente, por lo que el guardado no da como resultado un XSS almacenado. Si el Javascript se pega en el cuadro de texto, se codifica automáticamente y se procesa de forma segura, solo es vulnerable si se escribe el script.
Aparte de un ataque de phishing en el que el usuario escribe un script en el cuadro de texto, ¿hay otros ataques que se puedan realizar desde este punto? ¿Puede este self-XSS ser encadenado a otro ataque o es esencialmente solo válido para phishing?