Citat:
Ursprungligen postat av Robin_
Hej. Nej det är någon liten datanörds tönt som håller på att lägga in javascript kod som popar upp osv, byter lösenord o så.
Seriösa intressen PM, så får ni lösenord till sidan istället =)
|
Det faktum att det går att göra blottar ett stort fel ur säkerhetssynpunkt på din sida. Du escapar inte HTML som användare har skrivit, utan tillåter html att körs. En illasinnad person skulle t.ex kunna skicka all trafik från din sida till sin egen, eller någon olämplig.
Läs på lite om XSS:
http://en.wikipedia.org/wiki/Cross-site_scripting
Lita aldrig på en användare.
P.S Det faktum att ett sådant enkel säkerhetstänk saknas tyder också starkt på att kvalitén på koden i övrigt inte håller speciellt hög nivå.