Задать вопрос
golovewkin
@golovewkin
WEB - Разработчик
javascript

Какая опасность в динамическом подключении скрипта?

Всем привет!
Есть jacascript виджет/модуль. У него есть метод init() и render().
Для чего? В init() запрашиваю json с сервера данные. В render() - показываю на странице.
Какие проблемы с безопасностью могут возникнуть, если в init() засунуть тег <script> с запросом на полифилл, потому что, предположим, он нужен только моему модулю?

upd. ок, возможен XSS. Как такое сделать безопасно?
  • Вопрос задан
  • 274 просмотра
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 1
@nirvimel
Если теги не фильтруются и спец.символы не экранируются, то возможен XSS.

Надо экранировать символы, например, так по-простому, или специальными библиотеками, типа этой.
Ответ написан
2 комментария
2 комментария
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript FullStack разработчик
Rocket Смоленск
от 80 000 до 130 000 ₽
Fullstack разработчик JavaScript, php
Дорстрой-36 Воронеж
от 100 000 до 200 000 ₽
JavaScript FullStack developer
Wanted. Санкт-Петербург
До 220 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Дизайн интерфейса веб-приложения
24 нояб. 2024, в 14:37
3000 руб./в час
Обновить дизайн карты метро Москвы
24 нояб. 2024, в 13:04
500 руб./в час
Сделать сайт на Tilda
24 нояб. 2024, в 12:29
3000 руб./за проект
Ещё заказы