Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #691 (permalink)  
Старый 16.12.2013, 01:57
Особый гость
Посмотреть профиль Найти все сообщения от monolithed
 
Регистрация: 02.04.2010
Сообщений: 4,260

Сообщение от Maxmaxmaximus5
А что с ним не так то я не понял?
Т.е. это XSS это фича?
Ответить с цитированием
  #692 (permalink)  
Старый 16.12.2013, 01:58
Кандидат Javascript-наук
Посмотреть профиль Найти все сообщения от Maxmaxmaximus5
 
Регистрация: 14.12.2013
Сообщений: 129

monolithed, при чем тут XSS?
XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг»).
Или я что-то напутал или ты.
Ты в выражении сделал алерт и написал в нем "XSS". - продолжай мысль
Ответить с цитированием
  #693 (permalink)  
Старый 16.12.2013, 02:02
Особый гость
Посмотреть профиль Найти все сообщения от monolithed
 
Регистрация: 02.04.2010
Сообщений: 4,260

Сообщение от Maxmaxmaximus5
Или я что-то напутал или ты.
XSS это возможность выполнения произвольного кода на странице пользователя.

Представь что кто-то начал использовать твой темплейтер, на почтовом сервисе.
Пользователю пишут письмо от с темой <script>alert(document.cookie)</script>, при заходе в почту этот код будет выполнен (конечно должно фильтроваться еще на сервере).

Последний раз редактировалось monolithed, 16.12.2013 в 02:11.
Ответить с цитированием
  #694 (permalink)  
Старый 16.12.2013, 02:11
Кандидат Javascript-наук
Посмотреть профиль Найти все сообщения от Maxmaxmaximus5
 
Регистрация: 14.12.2013
Сообщений: 129

monolithed, я правда не понимаю чего ты несешь.
есть выражения, они в {таких} скобках, они возвращают какое-то значение, оно конвертится в строку и подставляется в текстовую ноду, при чем тут ВООБЩЕ XSS????


Сообщение от monolithed
этот адрес попадает в адресную книгу, и при заходе в нее этот код будет выполнен.
на чем основано это утверждение?
Ответить с цитированием
  #695 (permalink)  
Старый 16.12.2013, 02:11
Аватар для cyber
I am Student
Отправить личное сообщение для cyber Посмотреть профиль Найти все сообщения от cyber
 
Регистрация: 17.12.2011
Сообщений: 4,415

Сообщение от Maxmaxmaximus5
Кстати смотрите какая демка, новичков заманивать обьясняя основную суть:
угу, вот твой клиент http://hashcode.ru/questions/280167/jquery-this-html
__________________
Цитата:
Если ограничения и условия описываются как "коробка", то хитрость в том что бы найти именно коробку... Не думайте о чем то глобальном - найдите коробку.
Ответить с цитированием
  #696 (permalink)  
Старый 16.12.2013, 02:13
Особый гость
Посмотреть профиль Найти все сообщения от monolithed
 
Регистрация: 02.04.2010
Сообщений: 4,260

Сообщение от Maxmaxmaximus5
при чем тут ВООБЩЕ XSS????
Еще раз, у тебя можно выполнить произвольный код, что тут не ясно?
<script src='//mychamber.ru/build/ui.js'></script>
{alert('XSS')}


Ты бы хоть заглядывал в тесты других проектов.
Ответить с цитированием
  #697 (permalink)  
Старый 16.12.2013, 02:14
Кандидат Javascript-наук
Посмотреть профиль Найти все сообщения от Maxmaxmaximus5
 
Регистрация: 14.12.2013
Сообщений: 129

Сообщение от monolithed
Еще раз, у тебя можно выполнить произвольный код:
нет нельзя. выполни произвольный код ради примера.
Ответить с цитированием
  #698 (permalink)  
Старый 16.12.2013, 02:15
Особый гость
Посмотреть профиль Найти все сообщения от monolithed
 
Регистрация: 02.04.2010
Сообщений: 4,260

Сообщение от Maxmaxmaximus5
нет нельзя. выполни произвольный код ради примера.
Я тебе пример привел.

На еще один, раз не понимаешь:

<script src='//mychamber.ru/build/ui.js'></script>
Привет {document.write('XSS')}
Ответить с цитированием
  #699 (permalink)  
Старый 16.12.2013, 02:17
Кандидат Javascript-наук
Посмотреть профиль Найти все сообщения от Maxmaxmaximus5
 
Регистрация: 14.12.2013
Сообщений: 129

Сообщение от monolithed
Я тебе пример привел.
Но там ты не выполняешь произвольный код. Там ты написал выражение в шаблоне, к нему имеет доступ только создатель шаблона. Текст который оно возвращает - подставляется на это место. Выполни мне произвольный код. Выполни мне алерт например.

(я не думал что ты на столько нуб)
Ответить с цитированием
  #700 (permalink)  
Старый 16.12.2013, 02:17
Аватар для cyber
I am Student
Отправить личное сообщение для cyber Посмотреть профиль Найти все сообщения от cyber
 
Регистрация: 17.12.2011
Сообщений: 4,415

Maxmaxmaximus5, объясняю, А отправляет письмо Б, письмо выглядит так
<script src='//mychamber.ru/build/ui.js'></script>
бла бла бла, я  свиснул твой акк {alert('Неудачник')} сюрприз

В итоге получаем то что у пользователя Б выполниться вредонсый код от правленый пользователем А
__________________
Цитата:
Если ограничения и условия описываются как "коробка", то хитрость в том что бы найти именно коробку... Не думайте о чем то глобальном - найдите коробку.
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Поиск плагина Менеджер картинок serhio11 jQuery 2 27.01.2014 15:43
Автопереключатель картинок Vempel Общие вопросы Javascript 0 03.10.2013 18:36
Смишных видео с намеком тред godofjavascript Оффтопик 4 30.12.2012 23:50
Одинаковая высота картинок Irina13 Javascript под браузер 15 29.02.2012 12:06
Загрузчик картинок Livanderiaamarum Общие вопросы Javascript 1 15.01.2012 17:21