La mia scuola utilizza il sito web WebAssign per i compiti di matematica e scienze online. Una delle funzionalità di WebAssign è una sezione "Le mie note" che ti consente di inserire note per un problema e di tornare in un secondo momento senza inviare la risposta.
La finestra di dialogo "Le mie note" ha un pulsante <input>
per modificare il testo e un <div>
il cui innerHTML
è il contenuto non elaborato delle note. Ciò significa che, ad esempio, scrivendo π
nella casella delle note causerà la visualizzazione di π nella vista renderizzata.
Un altro effetto collaterale interessante è che è l'HTML reso che viene copiato nella casella per ulteriori modifiche. Ad esempio, scrivendo &gt;
e quindi premendo ripetutamente "Modifica" e "Salva" si otterrebbe la sequenza &gt;
→ >
→ >
mostrata nell'editor.
Puoi anche rompere la pagina scrivendo qualcosa come </div></body></html>
, che viene iniettato nel grezzo HTML.
La mia domanda è se c'è qualcosa di intrinsecamente pericoloso per il server o altri utenti del sito qui. Mi sembra che non ci sia, non ho alcuna indicazione che il server stia effettivamente eseguendo degli script, ecc., Che potrei inserire lì, solo memorizzando il testo e restituendolo in seguito. Tuttavia, sembra anche esserci qualcosa di sbagliato su questa mancanza di disinfezione in un sito di produzione. Quindi questo è un problema?