Gophish 是一个功能强大的开源网络钓鱼框架，可以轻松测试组织的网络钓鱼风险，专为企业和渗透测试人员设计

前言
之前看过几篇表哥们self xss配合csrf打的组合拳，一直没找到机会试，最近终于找到一处并成功复现，就来记录一下，大佬们勿喷

self xss指的是只有自己能触发xss 其他用户触发不了的
一般都是出现在个人资料信息处 因为只有自己能触发 并没什么卵用
但配合csrf的话是可以让其他用户触发我们的xss