Комментарии 4
Xss и токен в localStorage. Это китайские школьники что ли делали? Безопасников я так понимаю на проекте нет совсем.
По факту self xss. С таким же успехом можно попросить юзера исполнить код в консоли браузера.
Прошли те времена, когда надо было обфусифицировать "эрэм минус эрэф".
Сейчас просто пишешь в интернете пример кода и люди сами его копируют и запускают у себя.
Если им сказать "вот такой запрос даст вам вечный бесконечный бесплатный доступ к чатботу, а так же сделает цветочек аськи синим", то они и сами всё сделают.
А то, что ввод какого-то текста в чатбот может быть программой, которая прямо там исполнится, это не очень то и очевидно, потому что вызовет закономерный вопрос "а нафига такую систему сделали?".
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DeepSeek AI: От инъекции промпта до захвата аккаунта