|
Код запускается в рамках текущей страницы. Это бывает очень удобно, особенно для записей в блогах, демок и т.п.
С другой стороны, это действительно может быть небезопасно.
Теперь при запуске JS/HTML будет выводиться предупреждение (отключаемое).
Об XSS речи нет, т.к. код запускается непосредственно посетителем, при нажатии на кнопку.
|