Задать вопрос
golovewkin
@golovewkin
WEB - Разработчик
javascript

Какая опасность в динамическом подключении скрипта?

Всем привет!
Есть jacascript виджет/модуль. У него есть метод init() и render().
Для чего? В init() запрашиваю json с сервера данные. В render() - показываю на странице.
Какие проблемы с безопасностью могут возникнуть, если в init() засунуть тег <script> с запросом на полифилл, потому что, предположим, он нужен только моему модулю?

upd. ок, возможен XSS. Как такое сделать безопасно?
  • Вопрос задан
  • 274 просмотра
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 1
@nirvimel
Если теги не фильтруются и спец.символы не экранируются, то возможен XSS.

Надо экранировать символы, например, так по-простому, или специальными библиотеками, типа этой.
Ответ написан
2 комментария
2 комментария
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript разработчик
SummerWeb Ярославль
от 100 000 до 140 000 ₽
JavaScript разработчик
вАйТи
от 5 000 до 25 000 ₽
Middle JavaScript Developer
AppsTrain.io
от 80 000 до 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Написать программы на Python с алгоритмами из биоинформатики
02 мая 2024, в 19:24
3000 руб./за проект
Логотип для компании B2B, B2G поставка оборудования
02 мая 2024, в 19:16
5000 руб./за проект
Обучение модели нейронной сети процессу примерки одежды
02 мая 2024, в 19:14
25000 руб./за проект
Ещё заказы