Исходное сообщение
"Mozilla вводит новую политику безопасности" Отправлено User294, 26-Июн-09 17:23
>Спрвашивается, а где разница? Я думаю что разница - в том что воткнуть XSS надурив фильтр в середину страницы на сайтах типа форумов и блогов - фигня вопрос, достаточно придумать что-то что соберется в валидную конструкцию но пролезет через фильтры.И вуаля - наш JS уже тырит у юзера куки с авторизацией в контексте текущего сайта, вытворяет что-то от лица юзеря и прочее.Красота.XSS во весь рост. А вот meta - вроде только в начале страницы можно?И тем паче - содержимое этого поля не берется из БД или чего-то еще с содержимым условно-подконтрольным хакеру.Т.е. хакеру мало возможности постить сообщения и надуть фильтр.Надо полноценный доступ к серверу.А если у хакера полноценный доступ на сервер на запись - от него уже ничто не спасет, можно просто пагу с трояном отгружать всем вокруг :)