dario2994
commented
9 years ago La vulnerabilità è stata risolta.
Attualmente solo gli admin riescono a fare attacchi xss... ma insomma se un admin vuole fare attacchi xss perché vietarglielo? (magari verrà risolto anche questo in futuro)
La vulnerabilità agli attacchi xss è completa attualmente. È un problema ma non è enorme visto chi sarà ad usare il sito... comunque verrà risolto.
Quando si scrive in un commento (o in realtà in molti altri posti (direi tutti)) si possono scrivere (ovviamente non dalla textarea, ma con qualche strumento è facilissimo) tag html (e perché no, script js) che vengono poi visualizzati da chiunque apra la pagina.
La soluzione facile sarebbe vietare lato server di farlo, ma questo vieterebbe pure gli accapo. Cosa fare?