XSS (Cross-Site Scripting) — разновидность атаки, суть которой заключается в том, что злоумышленник может внедрить в страницу вредоносный код, который будет выполнен на машине пользователя, посетившем страницу (подробнее). В нашем случае потенциальная жертва — это пользователи Вашего проекта поддержки и Вы сами. Масштаб проблемы может быть более существенным, если ваш проект поддержки запущен на Вашем поддомене (например, support.example.com — ваш проект поддержки, а example.com — ваш сайт).
Мы сделали шаблоны такими, что Администратор проекта не может случайно по невнимательности создать экплоит, который может быть использован для XSS атаки иным обычным пользователем-злоумышленником, пока не внедряет JavaScript код прямо в шаблон. Обратите внимание, что возможность создания таких эксплоитов не запрещена со стороны платформы, поскольку предусмотреть все возможный случаи неоправдано сложно. Однако, чтобы создать подобный эксплоит, сам Администратор должен написать в шаблоне специальный код. В этот момент сам Администратор, внёсший такую правку в шаблон, становится либо злоумышленником, либо ответственным за случившееся (например, скопировал кусок кода из сторонних источников).
При редактировании темы оформления возможно внедрение ответственным лицом (Администратором проекта) JavaScript кода в будущую страницу. Будьте предельно внимательны, внедряя сторонний JavaScript код. Доверяйте только проверенным источникам. Если вы используете внешние JS файла со сторонних серверов (по внешним URL адресам), также доверяйте только проверенным источникам.
Редактирование шаблонов в вашем проекте — это полностью ваша ответственность, в том числе за любые возможные последствия.
Пока никто не оценил эту статью. Эта статья помогла Вам?
Userhorn (Česky forum)
UserHorn English support forum
UserHorn Русский форум поддержки