Ciò che stai facendo dipende da due cose che accadono
- Sei in grado di caricare javascript nel datastore in cui tale javascript verrà visualizzato da un utente.
- Quando viene eseguito il rendering di tale JavaScript dal browser dell'utente,
Gli sviluppatori dovrebbero controllare l'input per cose cattive, assicurarsi che l'input sia codificato in html e rifiutare le cose cattive come il markup. D'altra parte lo sviluppatore dovrebbe assicurarsi che tutto ciò che è stato fatto nel database venga reso innocuo.
Il fatto che tu sia in grado di ottenere javascript nel database mi dice che gli sviluppatori non hanno fatto un buon lavoro di controllo dell'input e hanno bisogno di risolverlo . Non ho mai incontrato qualcuno che abbia tag html nel loro nome :)
Il fatto che non venga eseguito sull'altro lato mi dice che il framework che usano probabilmente codifica l'output in modo da renderlo innocuo nella maggior parte dei casi. Sono disposto a scommettere se davvero provi a fare qualcosa per poter codificare che sei javascript in un modo che puoi far funzionare. Devi assicurarti di controllare l'input ogni e ogni . Gli strumenti automatici sono buoni e tutti, ma sono solo un punto di partenza.
Spero che questo aiuti!