домовой
Мы в восхищении. Королева в восхищении.
Битрикс и Аспро радуют дичью.
В процессе переписывания алгоритма поиска ( выбрать весь мусор содержащий слова, а потом постобработкой отобрать удовлетворяющее условиям) задумался а как быть с xss в "умном поиске" .
Для примера ввел название товара "<sсript>alert(xss)</sсript>" , сохранил. При открытии детальной страницы увидел алерт. Сильно удивился. Написал в аспро.
upd
При просмотре исходной страницы удивился еще больше. 14 из 16 упоминаний слова sсript корректно обработаны. дичь только в js имеющем буквы seo.И есть подозрение что это скорее ошибка bitrix нежели aspro.
Битрикс и Аспро радуют дичью.
В процессе переписывания алгоритма поиска ( выбрать весь мусор содержащий слова, а потом постобработкой отобрать удовлетворяющее условиям) задумался а как быть с xss в "умном поиске" .
Для примера ввел название товара "<sсript>alert(xss)</sсript>" , сохранил. При открытии детальной страницы увидел алерт. Сильно удивился. Написал в аспро.
upd
При просмотре исходной страницы удивился еще больше. 14 из 16 упоминаний слова sсript корректно обработаны. дичь только в js имеющем буквы seo.