Javascript è un motore che esegue il codice lato client. Se permetti il javascript di incontrollato di terze parti nel tuo sito, ciò significa che potenzialmente i visitatori del tuo sito potrebbero eseguire codice arbitrario nel tuo browser.
I danni possono arrivare a vari livelli:
- il più semplice e leggero: semplicemente gioca con il browser. Ad esempio, avvia un ciclo in background che mostra ripetutamente i popup
- leggermente più avanzato: rimuovi il menu del browser e intercetta l'evento close per impedire all'utente di chiudere semplicemente l'applicazione per sbarazzarsi dei popup
- ancora un passo avanti, gioca con la configurazione del browser memorizzata modificando le scorciatoie oi preferiti per chiamare una pagina infetta
- più difficile ma più dannoso: usa i difetti dei browser per uscire dal browser sandbox e accedere direttamente al sistema sottostante
A seconda del sistema, del browser e delle loro configurazioni, alcuni di questi attacchi non saranno possibili. Ma anche il più leggero, il ciclo di background che apre continuamente i popup è estremamente fastidioso per un utente e puoi essere sicuro che non tornerà mai più sul tuo sito.