Sono alle prese con gli attacchi X-Script. Penso di capire di cosa si tratta, ma non è chiaro se interessano solo le pagine Web pubbliche (che definirò meglio).
L'esempio che vedo spesso è dove l'attacco è "collegato" a qualcosa di pubblico (come un forum) in cui l'utente non ha bisogno di essere registrato (e quindi una pagina web pubblica). Ciò significa che, quando la pagina viene caricata, i carichi javascript e l'attacco possono essere eseguiti.
La mia domanda è: possono gli attacchi X-Script essere ancora pericolosi se solo l'utente che lo ha impostato può avere accesso ad esso (se è nascosto dietro un login)?
Sto escludendo l'iniezione SQL per questa domanda per favore.
Ad esempio, considera un semplice sito Web che consente a un utente di accedere e visualizzare un elenco di commenti che ha fatto. Non possono condividere i loro commenti con nessuno e solo l'utente che ha effettuato l'accesso può vedere i commenti. L'utente può aggiungere qualsiasi codice a loro piace qui. In quanto tale, qualsiasi codice dannoso che aggiungono interesserà solo l'utente che ha effettuato l'accesso!
Devo ancora preoccuparmi degli attacchi X-script su questo tipo di sito web?