Безопасность джаваскрипт

[PashPP]

Интересно чисто в целях самообразования, насколько уязвим джаваскрипт?
О том, что клиентский скриптовый язык с ограничениями и тд слышал. Но, мне тут пришла мысль, которая полюбому не рабочая, но я не понимаю еще почему.
Вот у нас в скрипте, допустим, есть переменная, которая передается на сервер и встраивается в общедоступное место. В самом скрипте эта переменная ограниченна лишь полезным кодом, но что нам мешает обойти эти проверки и задать ее хоть функцией хоть еще чем при помощи фаербага или хотя бы артмани?

Да и вообще что-то мало в инете инфы по этому поводу. Гугл родил только две более-менее полезные ссылки, первая из них - адобовская документация с ужасным переводом.

[Deff]

http://qps.ru/7mXtq Ройте в сторону XSS

Полно инфы - если вы на серве проверяете всте тексты на наличие тега script либо исполняемых атрибутов тегов(либо вообще не принимаете HTML текстов от пользователя) и не встраиваете тексты в свои скрипты - что может угрожать ?

[kobezzza]

В реальной жизни данные всегда проверяются на сервере, на клиенте можно нужно делать проверки, но это как "сахар" к интерфейсу.

[melky]

Сообщение от PashPP

Интересно чисто в целях самообразования, насколько уязвим джаваскрипт?

ни на сколько. уязвимы только плохие скрипты, которые на нём написаны

[Dim@]

melky,
бесконечная рекурсия

[melky]

Сообщение от Dim@

melky, бесконечная рекурсия

я имел в виду сам JS.

т.е. про то, что нельзя выполнить команду "rm -rf /", вызвав alert(window.SUPER_CONSTANT_REMOVE_ALL);