Форум

monolithed · #**691** (**permalink**) 16.12.2013, 01:57

Сообщение от Maxmaxmaximus5

А что с ним не так то я не понял?

Т.е. это XSS это фича?

Maxmaxmaximus5 · #**692** (**permalink**) 16.12.2013, 01:58

monolithed, при чем тут XSS?
XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг»).
Или я что-то напутал или ты.
Ты в выражении сделал алерт и написал в нем "XSS". - продолжай мысль

monolithed · #**693** (**permalink**) 16.12.2013, 02:02

Сообщение от Maxmaxmaximus5

Или я что-то напутал или ты.

XSS это возможность выполнения произвольного кода на странице пользователя.

Представь что кто-то начал использовать твой темплейтер, на почтовом сервисе.
Пользователю пишут письмо от с темой <script>alert(document.cookie)</script>, при заходе в почту этот код будет выполнен (конечно должно фильтроваться еще на сервере).

Maxmaxmaximus5 · #**694** (**permalink**) 16.12.2013, 02:11

monolithed, я правда не понимаю чего ты несешь.
есть выражения, они в {таких} скобках, они возвращают какое-то значение, оно конвертится в строку и подставляется в текстовую ноду, при чем тут ВООБЩЕ XSS????

Сообщение от monolithed

этот адрес попадает в адресную книгу, и при заходе в нее этот код будет выполнен.

на чем основано это утверждение?

cyber · #**695** (**permalink**) 16.12.2013, 02:11

Сообщение от Maxmaxmaximus5

Кстати смотрите какая демка, новичков заманивать обьясняя основную суть:

угу, вот твой клиент http://hashcode.ru/questions/280167/jquery-this-html

monolithed · #**696** (**permalink**) 16.12.2013, 02:13

Сообщение от Maxmaxmaximus5

при чем тут ВООБЩЕ XSS????

Еще раз, у тебя можно выполнить произвольный код, что тут не ясно?

<script src='//mychamber.ru/build/ui.js'></script>
{alert('XSS')}

Ты бы хоть заглядывал в тесты других проектов.

Maxmaxmaximus5 · #**697** (**permalink**) 16.12.2013, 02:14

Сообщение от monolithed

Еще раз, у тебя можно выполнить произвольный код:

нет нельзя. выполни произвольный код ради примера.

monolithed · #**698** (**permalink**) 16.12.2013, 02:15

Сообщение от Maxmaxmaximus5

нет нельзя. выполни произвольный код ради примера.

Я тебе пример привел.

На еще один, раз не понимаешь:

<script src='//mychamber.ru/build/ui.js'></script>
Привет {document.write('XSS')}

Maxmaxmaximus5 · #**699** (**permalink**) 16.12.2013, 02:17

Сообщение от monolithed

Я тебе пример привел.

Но там ты не выполняешь произвольный код. Там ты написал выражение в шаблоне, к нему имеет доступ только создатель шаблона. Текст который оно возвращает - подставляется на это место. Выполни мне произвольный код. Выполни мне алерт например.

(я не думал что ты на столько нуб)

cyber · #**700** (**permalink**) 16.12.2013, 02:17

Maxmaxmaximus5, объясняю, А отправляет письмо Б, письмо выглядит так

<script src='//mychamber.ru/build/ui.js'></script>
бла бла бла, я  свиснул твой акк {alert('Неудачник')} сюрприз

В итоге получаем то что у пользователя Б выполниться вредонсый код от правленый пользователем А

Форум

Справочник

Discord чат

Курсы javascript