Почему сработала xss атака в данном примере?

Question

[Николай Антонов]

Задача №4 с сайта xss game.
Ответ: если в форму вставить ');alert('xss то алерт сработает. Те данные подставятся в функцию как аргумент "seconds":

function startTimer(seconds) {
        seconds = parseInt(seconds) || 3;
        setTimeout(function() {
          window.confirm("Time is up!");
          window.history.back();
        }, seconds * 1000);

Кажется в строке 2 кажется происходит сама атака.
Почему в данном примере такой же код не сработает? пример №2 jsfiddle

Answer 1

[Dark Hole]

Потому, что startTimer('');alert('');

Comments

[Николай Антонов]

Почему тут тогда не сработает? jsbin.com/bonuzaz/2/edit?js,output

[ТыжСисАдмин]

Dark Hole чуть ниже только seconds = parseInt();alert();

[Dark Hole]

Николай Антонов: startTimer('{{ time }}'); {{ time }} генерируется сервером. В данном случае это '); alert('. Вставьте вместо {{ time }} это и все поймете.