目前攻击范围仅存在类魂游戏玩家之间，根据视频展示，攻击发生于视频加载后，可以猜测是加载网页的过程加载并执行了攻击脚本。由于代码直接注入了b站网页，因此攻击脚本自然也可以带上b站的cookie调用b站api（从后端视角来看，这些请求完全是由客户端正常发起的），从而可以进行删视频等操作。 
普通终端用户无法有效抵御，建议暂时改用客户端直到漏洞被修复。 
来源：视频《为什么我建议别用B站网页端了（攻击指定b站账号）》