Pull to refresh

Comments 9

в 2021 xss? серьезно? мне кажется после CORS это и новой политикой работы с куками это бессмысленно
Забыли вариант с выходом из script. Про него часто забывают. Пример уязвимого кода ниже:

let data = '<?php echo addslashes($_GET['data']) ?>';
</scri pt>


Парсер немного ест коммент, полагаю суть ясна. Пример выхода надеюсь никому не нужен )
Все $_GET['data'] надо заменить на getvar('data'), а в функции фильтровать ввод.

А еще есть практика secure development, когда делается прослойка между между серверной программой и браузером. Эта прослойка всё фильтрует и хранит коннекты к базе данных. Такая прослойка есть например на azure. Можно писать любой код и не боятся никаких инъекций.

Никогда нельзя писать любой код и не бояться инъекций.
Основные иньекции просто не проходят.

Чтобы сломать барьер надо быть уже на порядок выше по уровню.

Оъясните мне пожалуйста. Как этот код может вдруг появится в index.html файла на вебсервере ?

Он не появится на сервере, только на клиенте.
Sign up to leave a comment.