Как стать автором
Обновить

Комментарии 4

Xss и токен в localStorage. Это китайские школьники что ли делали? Безопасников я так понимаю на проекте нет совсем.

По факту self xss. С таким же успехом можно попросить юзера исполнить код в консоли браузера.

Прошли те времена, когда надо было обфусифицировать "эрэм минус эрэф".

Сейчас просто пишешь в интернете пример кода и люди сами его копируют и запускают у себя.

Если им сказать "вот такой запрос даст вам вечный бесконечный бесплатный доступ к чатботу, а так же сделает цветочек аськи синим", то они и сами всё сделают.

А то, что ввод какого-то текста в чатбот может быть программой, которая прямо там исполнится, это не очень то и очевидно, потому что вызовет закономерный вопрос "а нафига такую систему сделали?".

Зарегистрируйтесь на Хабре, чтобы оставить комментарий