\u041d\u0435 \u0442\u0430\u043a \u0434\u0430\u0432\u043d\u043e \u044f \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u043b \u043d\u0430 \u043a\u043e\u043d\u0444\u0435\u0440\u0435\u043d\u0446\u0438\u0438 FrontendConf 2015<\/a> (\u0420\u0418\u0422++) \u0441 \u0442\u0435\u043c\u043e\u0439 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438. \u0418 \u043f\u0440\u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0435 \u0434\u043e\u043a\u043b\u0430\u0434\u0430 \u043d\u0430\u0447\u0430\u043b \u0438\u0441\u043a\u0430\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e, \u0430 \u043a\u0442\u043e \u0432\u043e\u043e\u0431\u0449\u0435 \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u043b \u043d\u0430 \u0434\u0430\u043d\u043d\u0443\u044e \u0442\u0435\u043c\u0443 \u0438 \u0447\u0442\u043e \u0435\u0441\u0442\u044c \u0432 \u0421\u0435\u0442\u0438 \u043d\u0430 \u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u043e\u043c\u0435\u043d\u0442.<\/p>\n \u041e\u043a\u0430\u0437\u0430\u043b\u043e\u0441\u044c, \u0447\u0442\u043e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0441\u043e\u0432\u0441\u0435\u043c \u043d\u0435\u043c\u043d\u043e\u0433\u043e, \u0431\u043e\u043b\u0435\u0435-\u043c\u0435\u043d\u0435\u0435 \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0431\u044b \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c \u0434\u043e\u043a\u043b\u0430\u0434 mikewest.org\/2013\/09\/frontend-security-frontendconf-2013<\/a> \u043e\u0442 Mike West \u0438\u0437 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 Google, \u043d\u043e \u043a\u0430\u043a\u043e\u0439-\u0442\u043e \u00ab\u043d\u0435\u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u0441\u043a\u0438\u0439\u00bb \u0432\u0437\u0433\u043b\u044f\u0434 \u0438 \u0443\u0436 \u0441\u043e\u0432\u0441\u0435\u043c \u043c\u0430\u043b\u043e \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b\u0430. \u0418 www.slideshare.net\/eoftedal\/web-application-security-in-front-end<\/a> \u0433\u0434\u0435 \u0442\u0435\u043c\u0430 \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0430 \u0431\u043e\u043b\u0435\u0435 \u0434\u0435\u0442\u0430\u043b\u044c\u043d\u043e, \u043d\u043e \u0432\u044b\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0435 2011 \u0433\u043e\u0434\u0430. \u0410 \u0437\u0430 4 \u0433\u043e\u0434\u0430 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u0438 \u0430\u0442\u0430\u043a\u0438 \u043d\u0430 \u043c\u0435\u0441\u0442\u0435 \u043d\u0435 \u0441\u0442\u043e\u044f\u043b\u0438.<\/p>\n \u0414\u043e\u043b\u0433\u043e \u0438 \u0441\u043b\u043e\u0436\u043d\u043e \u0432\u044b\u0431\u0438\u0440\u0430\u044f \u0442\u0435\u043c\u044b, \u0447\u0442\u043e \u0436\u0435 \u0432\u0441\u0435-\u0442\u0430\u043a\u0438 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u0442\u044c \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c \u0444\u0440\u043e\u043d\u0442\u0435\u043d\u0434\u043e\u0432 \u043f\u0440\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c, \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u043c\u0438\u043d\u0438\u043c\u0443\u043c \u043a\u0430\u0441\u0430\u044f\u0441\u044c \u0431\u0435\u043a\u044d\u043d\u0434\u0430 (\u043c\u0435\u0441\u0442\u0430\u043c\u0438 \u0432\u0441\u0435-\u0442\u0430\u043a\u0438 \u044d\u0442\u043e \u043d\u0435\u0434\u0435\u043b\u0438\u043c\u043e), \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0441\u044f \u0434\u043e\u043a\u043b\u0430\u0434, \u0430 \u0437\u0434\u0435\u0441\u044c \u2014 \u0435\u0433\u043e \u0442\u0435\u043a\u0441\u0442\u043e\u0432\u044b\u0439 \u043f\u0435\u0440\u0435\u0441\u043a\u0430\u0437.<\/p>\n \u0410 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e, \u043e \u0447\u0435\u043c \u0442\u0443\u0442 \u0432\u043e\u043e\u0431\u0449\u0435 \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0437\u0433\u043e\u0432\u0430\u0440\u0438\u0432\u0430\u0442\u044c? \u0413\u043e\u0432\u043e\u0440\u044f \u043f\u0440\u043e \u0432\u0437\u043b\u043e\u043c\u044b \u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u043d\u0435\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u0438\u0445\u043e\u0434\u044f\u0442 \u0432 \u0433\u043e\u043b\u043e\u0432\u0443 \u0442\u0435\u0437\u0438\u0441\u044b \u2014 \u0441\u043b\u0438\u043b\u0438 \u0431\u0430\u0437\u0443, \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044e \u043a\u043e\u043c\u0430\u043d\u0434 \u041e\u0421 \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435, \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u043b\u0438 \u0447\u0443\u0436\u0443\u044e \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u043a\u0443. \u041d\u043e \u044d\u0442\u043e \u0432\u0441\u0435 \u2014 server side \u043a\u043e\u0434. \u0410 \u0447\u0442\u043e \u0436 \u043c\u043e\u0436\u0435\u0442 \u00ab\u043d\u0430\u0433\u043e\u0440\u043e\u0434\u0438\u0442\u044c\u00bb \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434\u0435\u0440? \u0413\u043b\u0430\u0432\u043d\u0430\u044f \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c, \u043a\u043e\u043d\u0435\u0447\u043d\u043e \u0436\u0435, \u0432 \u043e\u0431\u0445\u043e\u0434\u0435 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u043c SOP \u2014 Same Origin Policy, \u0433\u043b\u0430\u0432\u043d\u043e\u0439 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0440\u0435\u0433\u0443\u043b\u0438\u0440\u0443\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0443 \u0432 \u0440\u0430\u0437\u043d\u044b\u0445 Origin. \u041d\u043e \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e, \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0442\u044c\u0441\u044f.<\/p>\n <\/a> <\/p>\n \u041d\u0443 \u0430 \u0447\u0442\u043e \u0441 \u0444\u0440\u043e\u043d\u0442\u0435\u043d\u0434\u043e\u043c \u0442\u043e? \u0410 \u0437\u0434\u0435\u0441\u044c \u0434\u0440\u0443\u0433\u043e\u0439 \u0441\u043b\u0443\u0447\u0430\u0439 \u2014 JS \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u043d\u0435 \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440 (\u0437\u0430 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u043c\u0438 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f\u043c\u0438, \u043d\u043e \u0434\u0435\u043b\u043e \u043d\u0435 \u0432 \u043d\u0438\u0445), \u0430 \u0432\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0432 DOM \u0437\u0430 \u0441\u0447\u0435\u0442 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e\u0433\u043e JS \u043a\u043e\u0434\u0430. \u041e\u0442\u0441\u044e\u0434\u0430 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u0434\u043b\u044f \u0442\u0440\u0435\u0442\u044c\u0435\u0433\u043e \u0442\u0438\u043f\u0430 \u0430\u0442\u0430\u043a XSS \u2014 DOM XSS.<\/p>\n \u0422\u0438\u043f\u0438\u0447\u043d\u044b\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0433\u043e JS \u043a\u043e\u0434\u0430:<\/p>\n \u0422\u0435\u043f\u0435\u0440\u044c \u043e\u0442\u043a\u0440\u044b\u0432 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443<\/p>\n JS \u0434\u043e\u0431\u0430\u0432\u0438\u0442 \u0432 \u0434\u0435\u0440\u0435\u0432\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 document.location.href, \u0433\u0434\u0435 \u0432\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u00ab\u0437\u043b\u043e\u0431\u043d\u044b\u0439\u00bb js. \u041a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0443\u0436\u0435 \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c \u0438\u0437 \u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0434\u043b\u044f \u043f\u043e\u0438\u0441\u043a\u0430 \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u0432 \u0434\u043b\u044f \u0434\u0430\u043d\u043d\u043e\u0433\u043e \u0432\u0438\u0434\u0430 \u0430\u0442\u0430\u043a \u043d\u0430\u043c \u043d\u0443\u0436\u043d\u043e \u0434\u0432\u0435 \u0432\u0435\u0449\u0438: \u043d\u0430 \u0447\u0442\u043e-\u0442\u043e \u043f\u043e\u0432\u043b\u0438\u044f\u0442\u044c \u0432 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f (sources) \u0438 \u043a\u0430\u043a-\u0442\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c (sinks). <\/p>\n \u041f\u0440\u0438\u043c\u0435\u0440\u044b \u00ab\u0441\u043e\u0440\u0441\u043e\u0432\u00bb (sources): <\/p>\n \u041f\u0440\u0438\u043c\u0435\u0440\u044b \u00ab\u0441\u0438\u043d\u043a\u043e\u0432\u00bb (sinks) <\/p>\n \u0411\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u0442\u044c\u0441\u044f \u0441 \u0434\u0430\u043d\u043d\u043e\u0439 \u0442\u0435\u043c\u043e\u0439 \u043c\u043e\u0436\u043d\u043e \u043f\u043e \u0441\u0441\u044b\u043b\u043a\u0430\u043c \u2014 code.google.com\/p\/domxsswiki<\/a> (\u0438 \u0432\u0437\u044f\u0442\u044c \u043e\u0442\u0441\u044e\u0434\u0430 \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043a\u0443 \u0434\u043b\u044f \u043f\u043e\u0438\u0441\u043a\u0430 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u0445 \u043c\u0435\u0441\u0442) \u0438 habrahabr.ru\/company\/xakep\/blog\/189210<\/a>, \u0441\u0442\u0430\u0442\u044c\u044f \u043e\u0442 \u043c\u043e\u0435\u0433\u043e \u043a\u043e\u043b\u043b\u0435\u0433\u0438 \u0410\u043b\u0435\u043a\u0441\u0435\u044f \u0422\u044e\u0440\u0438\u043d\u0430<\/p>\n \u0410 \u0432\u043e\u0442 \u043f\u0440\u0438\u043c\u0435\u0440 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0433\u043e \u043a\u043e\u0434\u0430 (\u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e) \u0441 twitter.com (full story<\/a>)<\/p>\n \u0427\u0430\u0441\u0442\u043e \u0431\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e JS\/CSS \u0444\u0430\u0439\u043b\u044b \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e\u0431 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b. <\/p>\n \u041a\u043e\u0433\u0434\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u044b \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f \u0441\u043e\u0432\u0441\u0435\u043c \u0431\u043e\u043b\u044c\u0448\u0438\u043c\u0438 \u0438 \u0432\u0441\u0442\u0443\u043f\u0430\u044e\u0442 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0441\u0440\u0435\u0434\u044b \u0434\u043b\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f (test\/dev\/prod) \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0442\u0441\u044f \u00ab\u043a\u043e\u0441\u0442\u044b\u043b\u0438\u00bb \u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u043d\u0430 \u043a\u043b\u0438\u0435\u043d\u0442\u0435, \u0432 \u043a\u0430\u043a\u043e\u043c \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u0438 \u043d\u0443\u0436\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c.<\/p>\n \u041f\u0440\u0438\u043c\u0435\u0440 \u0442\u0430\u043a\u043e\u0433\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430, mail.ru \u2014 img.imgsmail.ru\/r\/webagent\/release\/loader.js<\/a><\/p>\n \u041a\u0430\u043a \u0432\u0438\u0434\u043d\u043e \u0438\u0437 \u0444\u0430\u0439\u043b\u0430, \u043f\u043e \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043a\u0430\u043c \u043c\u043e\u0436\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u0434\u043e\u043c\u0435\u043d\u044b (\u0438 \u0441\u0431\u0440\u0443\u0442\u0438\u0442\u044c \u0432\u0430\u043b\u0438\u0434\u043d\u044b\u0435?) \u0434\u043b\u044f \u0442\u0435\u0441\u0442\u043e\u0432 \u0438 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043c\u043e\u0436\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u0438 \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u0430\u044f (\u0435\u0441\u043b\u0438 \u0447\u0442\u043e \u2014 mail.ru \u0432 \u043a\u0443\u0440\u0441\u0435), \u043d\u043e \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u044e\u0442\u0441\u044f \u043f\u043e\u0440\u043e\u0439 \u0438 \u0442\u0430\u043a\u0438\u0435 \u043a\u043e\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438:<\/p>\n <\/p>\n \u0421 CSS \u0442\u043e\u0436\u0435 \u0441\u0430\u043c\u043e\u0435. \u041f\u0440\u043e\u0435\u043a\u0442\u044b \u0440\u0430\u0441\u0442\u0443\u0442, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0438 \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0442 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0442\u044c \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u00ab\u0441\u0431\u043e\u0440\u0449\u0438\u043a\u0438\u00bb, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043a\u0430\u043a \u0440\u0430\u0437 \u0431\u044b\u0432\u0430\u044e\u0442 \u0438 \u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u00ab\u0432\u043a\u0443\u0441\u043d\u0443\u044e\u00bb \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e, \u043f\u0440\u0438\u043c\u0435\u0440 \u2014 hackerone.com\/reports\/2221<\/a><\/p>\n <\/p>\n \u0412\u0441\u0435 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0435\u0435 \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 JS MVC \u0444\u0440\u0435\u0439\u043c\u043e\u0440\u0432\u043a\u0438: AngularJS, Knockout, EmberJS \u0438 \u0442.\u0434. \u0421 \u043d\u0438\u043c\u0438 \u043e\u0447\u0435\u043d\u044c \u043a\u0440\u0443\u0442\u043e, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0440\u0430\u0441\u0448\u0438\u0440\u0438\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0443 \u0441 DOM, \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043d\u043e\u0432\u044b\u0435 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b (), \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u00ab\u0431\u0438\u043d\u0434\u0438\u043d\u0433\u0438\u00bb \u0438 \u0442.\u0434. \u0415\u0441\u0442\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0447\u0442\u043e-\u0442\u043e \u043d\u043e\u0432\u043e\u0435 \u043d\u0435 \u043c\u043e\u0433\u043b\u043e \u043f\u0440\u043e\u0439\u0442\u0438 \u043d\u0435\u0437\u0430\u043c\u0435\u0442\u043d\u043e \u0434\u043b\u044f \u043c\u0438\u0440\u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n \u0412 \u0447\u0430\u0441\u0442\u043d\u043e\u0441\u0442\u0438 \u043d\u0430\u0441 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u044e\u0442 logic-less \u0442\u0435\u043c\u043f\u043b\u0435\u0439\u0442\u044b<\/p>\n \u041a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0441\u043e\u043a\u0440\u0430\u0442\u0438\u0442\u044c \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u00ab\u043a\u043e\u043f\u0438\u043f\u0430\u0441\u0442\u0430\u00bb \u0438 \u043f\u0440\u0438\u0441\u0432\u0430\u0438\u0432\u0430\u0442\u044c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u043c \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u043c \u0432\u043d\u0443\u0442\u0440\u0438 \u0441\u043a\u043e\u0431\u043e\u043a.<\/p>\n \u0418\u043b\u0438 \u0443\u0441\u043e\u0432, \u0435\u0441\u043b\u0438 \u0441\u043a\u043e\u0431\u043a\u0443 \u043f\u043e\u0432\u0435\u0440\u043d\u0443\u0442\u044c \u043d\u0430 90\u00b0. \u0423\u0441\u043e\u0432! mustache.github.io<\/a><\/p>\n \u0422\u0430\u043a \u043f\u043e\u044f\u0432\u0438\u043b\u0441\u044f \u043f\u0440\u043e\u0435\u043a\u0442 mustache security \u2014 code.google.com\/p\/mustache-security<\/a>, \u043f\u0440\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c MVC \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u043e\u0432. \u0423\u0436\u0435 \u0435\u0441\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043f\u0440\u043e:<\/p>\n \u0422\u0430\u043a \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u0432\u0435\u0440\u043d\u0435\u043c\u0441\u044f, \u0447\u0442\u043e \u043f\u043b\u043e\u0445\u043e\u0433\u043e \u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u0437\u0434\u0435\u0441\u044c \u0441\u043b\u0443\u0447\u0438\u0442\u0441\u044f? \u0412\u043e\u0437\u044c\u043c\u0435\u043c AngularJS. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0431\u044b\u0432\u0430\u044e\u0442 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u0438, \u043a\u043e\u0433\u0434\u0430 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043a\u0430\u043a \u0440\u0430\u0437 \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u0442 \u043a\u0430\u043a \u0440\u0430\u0437 \u0432\u043d\u0443\u0442\u0440\u044c \u044d\u0442\u0438\u0445 \u0441\u043a\u043e\u0431\u043e\u043a. \u0418 \u0438\u0437 \u043d\u0438\u0445 \u043a\u0430\u043a-\u0442\u043e \u043d\u0430\u0434\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0441\u0432\u043e\u0439 JS, \u043d\u043e \u044d\u0442\u043e \u043f\u043e-\u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u043d\u0435\u043b\u044c\u0437\u044f. \u0417\u0430\u0434\u0430\u0447\u0430 \u2014 \u043e\u0431\u043e\u0439\u0442\u0438 \u00ab\u043f\u0435\u0441\u043e\u0447\u043d\u0438\u0446\u0443\u00bb.<\/p>\n \u041f\u0440\u0438\u043c\u0435\u0440 \u0441 AngularJS (1.1.5)<\/p>\n \u0412\u043e\u0442 \u0442\u0430\u043a, \u043f\u043e\u043a\u0430 \u0435\u0449\u0435 \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u0445\u0438\u0442\u0440\u043e \u0432 \u0432\u0435\u0440\u0441\u0438\u0438 AngularJS < 1.1.5 \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0432\u044b\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0438\u0437 \u043f\u0435\u0441\u043e\u0447\u043d\u0438\u0446\u044b \u0438 \u00ab\u0434\u043e\u0441\u0442\u0443\u0447\u0430\u0442\u044c\u0441\u044f\u00bb \u0434\u043e \u043e\u0431\u044a\u0435\u043a\u0442\u0430 window (\u0432 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u0432\u044b\u0448\u0435 \u2014 \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u044b\u0437\u043e\u0432 alert(1)), \u0432\u0441\u0435\u0433\u043e \u043e\u043a\u043d\u0430 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430. Google \u0432\u044b\u043f\u0443\u0441\u0442\u0438\u043b\u0438 \u0444\u0438\u043a\u0441, \u0438\u2026<\/p>\n AngularJS (1.2.18), \u043f\u043e\u0441\u043b\u0435 \u0444\u0438\u043a\u0441\u043e\u0432<\/p>\n \u0416\u0435\u043b\u0430\u0435\u043c\u044b\u0439 alert(1) \u0442\u0430\u043a\u0436\u0435 \u043f\u043e\u043b\u0443\u0447\u0435\u043d!<\/p>\n \u0422\u0430\u043a \u043a \u0447\u0435\u043c\u0443 \u044f. \u041e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u0444\u0440\u0435\u0439\u043c\u043e\u0440\u043a\u043e\u0432 \u0432\u0430\u0436\u043d\u043e \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u0430, \u043d\u043e \u0438 \u0434\u043b\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438!<\/p>\n \u0420\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u044f \u0434\u0430\u043d\u043d\u044b\u0439 \u043f\u0443\u043d\u043a\u0442 \u043c\u044b \u0443\u0436\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u043c \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u0442\u044c \u043d\u0435\u043c\u043d\u043e\u0433\u043e backend. \u041d\u043e \u0441\u043e\u0432\u0441\u0435\u043c \u043d\u0435\u043c\u043d\u043e\u0433\u043e. \u041f\u0440\u0438\u043c\u0435\u0440 \u043d\u0430 PHP: <\/p>\n \u041f\u0440\u0438\u043c\u0435\u0440 \u043d\u0430 Python: <\/p>\n \u0418 \u0432 \u043f\u0435\u0440\u0432\u043e\u043c, \u0438 \u0432\u043e \u0432\u0442\u043e\u0440\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u0441\u0435\u0440\u0432\u0435\u0440 \u043e\u0442\u0432\u0435\u0442\u0438\u0442 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u043c: <\/p>\n \u0422.\u0435. \u043f\u0440\u043e\u0441\u0442\u043e \u0441\u043a\u0430\u0436\u0435\u0442 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0443, \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 bar \u043a\u043b\u044e\u0447\u0443 foo. \u041d\u043e \u043d\u0443\u0436\u043d\u043e \u0432\u0441\u0435 \u043e\u0431\u0434\u0443\u043c\u0430\u0442\u044c \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0441\u0435\u0431\u044f \u043f\u043e \u0447\u0435\u043a\u043b\u0438\u0441\u0442\u0443: <\/p>\n \u0412 \u0442\u0440\u0435\u0442\u044c\u0435\u043c \u043f\u0443\u043d\u043a\u0442\u0435 \u0431\u044b\u043b\u043e \u0441\u043a\u0430\u0437\u0430\u043d\u043e \u043f\u0440\u043e HTTPS. \u0410 \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043a\u0430\u043a \u0440\u0430\u0437 \u044d\u0442\u043e \u0438 \u043e\u0431\u0441\u0443\u0434\u0438\u043c, \u0432\u0435\u0434\u044c \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043e \u044d\u0442\u043e \u043a\u0430\u043a \u0440\u0430\u0437 \u043d\u0430 \u0440\u0430\u0431\u043e\u0442\u0443 \u0441 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u043c. \u0421 \u0442.\u0447. \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0430 \u044d\u0442\u043e \u043e\u0431\u044b\u0447\u043d\u043e \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u2014 \u0432\u044b\u0431\u043e\u0440 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430, \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0432\u0435\u0431\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0438 \u043a\u043e\u0433\u0434\u0430 \u0443\u0436\u0435 \u0433\u043e\u0442\u043e\u0432\u043e \u2014 \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0441 HTTP \u043d\u0430 HTTPS<\/b><\/p>\n \u041a\u0430\u043a \u044d\u0442\u043e \u0431\u044b\u0432\u0430\u0435\u0442 \u0432 \u0436\u0438\u0437\u043d\u0438. \u0410\u0434\u043c\u0438\u043d \u0441\u0442\u0430\u0432\u0438\u0442 \u0440\u0435\u0434\u0438\u0440\u0435\u043a\u0442 \u043f\u0440\u0438 \u0437\u0430\u0445\u043e\u0434\u0435 \u043d\u0430 \u0441\u0430\u0439\u0442 \u043f\u043e HTTP \u043d\u0430 HTTPS \u0438 \u0432\u0441\u0435. \u041d\u043e \u043a\u0430\u043a \u0440\u0430\u0437 \u044d\u0442\u043e\u0442 \u043c\u043e\u043c\u0435\u043d\u0442, \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0442\u043e \u0438\u0437\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e \u0437\u0430\u0445\u043e\u0434\u0438\u0442 \u043f\u043e HTTP \u0438 \u0438\u043c\u0435\u043d\u043d\u043e \u0432 \u044d\u0442\u043e\u0442 \u043c\u043e\u043c\u0435\u043d\u0442 \u043c\u043e\u0436\u043d\u043e \u00ab\u0434\u0440\u043e\u043f\u043d\u0443\u0442\u044c\u00bb \u0440\u0435\u0434\u0438\u0440\u0435\u043a\u0442 \u043d\u0430 HTTPS \u0438 \u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0442\u0440\u0430\u0444\u0438\u043a \u0434\u0430\u043b\u044c\u0448\u0435, \u0442\u0430\u043a \u0438 \u043d\u0435 \u0434\u0430\u0432 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e HTTPS \u0432\u0435\u0440\u0441\u0438\u044e \u0441\u0430\u0439\u0442\u0430.<\/p>\n \u041f\u043e\u0447\u0435\u043c\u0443 \u043b\u044e\u0434\u0438 \u0437\u0430\u0445\u043e\u0434\u044f\u0442 \u043d\u0430 \u0441\u0430\u0439\u0442 \u0442\u0430\u043a\u0436\u0435 \u043f\u043e HTTP? \u041f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0443 \u0432\u0441\u0435\u0445 \u043e\u043d \u0432 \u0437\u0430\u043a\u043b\u0430\u0434\u043a\u0430\u0445 \u0432\u0441\u0435 \u0442\u0430\u043a\u0436\u0435 \u043f\u043e HTTP. <\/p>\n \u041e\u0442\u0432\u043b\u0435\u0447\u0435\u043c\u0441\u044f \u043d\u0430 \u043a\u0443\u043b\u0441\u0442\u043e\u0440\u0438 \ud83d\ude42<\/p>\n \u041d\u0435 \u043c\u043e\u0433\u0443 \u043d\u0435 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u0440\u043e \u00ab\u0433\u043e\u0440\u044f\u0447\u043e \u043b\u044e\u0431\u0438\u043c\u044b\u0439\u00bb VK. \u0421\u0435\u0439\u0447\u0430\u0441 \u043f\u0440\u043e\u0448\u043b\u0430\/\u0438\u0434\u0435\u0442\/\u043d\u0430\u0431\u0438\u0440\u0430\u0435\u0442 \u043e\u0431\u043e\u0440\u043e\u0442\u044b \u0432\u043e\u043b\u043d\u0430 \u00ab\u0443\u0433\u043e\u043d\u043e\u0432\u00bb \u0430\u043a\u043a\u0430\u0443\u043d\u0442\u043e\u0432 \u0432 \u0412\u041a. \u0427\u0430\u0449\u0435 \u0432\u0441\u0435\u0433\u043e \u044d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u0437\u043b\u043e\u043c\u0430\u043d\u043d\u044b\u0435 \u0440\u043e\u0443\u0442\u0435\u0440\u044b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 (\u0432 \u0440\u043e\u0443\u0442\u0435\u0440\u0430\u0445 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0445\u0432\u0430\u0442\u0430\u0435\u0442) \u0441 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u043d\u044b\u043c\u0438 DNS \u0441\u0435\u0440\u0432\u0435\u0440\u0430\u043c\u0438, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0430\u0434\u0440\u0435\u0441\u0430 \u0412\u041a \u2014 \u0434\u0440\u0443\u0433\u0438\u0435, \u0430 \u0438\u043c\u0435\u043d\u043d\u043e \u00ab\u0437\u043b\u043e\u0431\u043d\u044b\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u044b \u0437\u043b\u043e\u0431\u043d\u044b\u0445 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432\u00bb. \u041e\u043d\u0438 \u043a\u0430\u043a \u0440\u0430\u0437 \u0438 \u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u044d\u0442\u0438\u043c \u0442\u0440\u044e\u043a\u043e\u043c, \u043d\u0435 \u0434\u0430\u044e\u0442 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u043f\u043e\u0441\u0435\u0442\u0438\u0442\u044c HTTPS \u0432\u0435\u0440\u0441\u0438\u044e \u0441\u0430\u0439\u0442\u0430, \u00ab\u0434\u0440\u043e\u043f\u0430\u044f\u00bb \u0440\u0435\u0434\u0438\u0440\u0435\u043a\u0442, \u0442\u0430\u043a \u043a\u0430\u043a \u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0441\u0430\u0439\u0442 \u0432\u0441\u0435 \u0435\u0449\u0435 \u0432 \u0437\u0430\u043a\u043b\u0430\u0434\u0430\u0445 \u043f\u043e HTTP \u0432\u0435\u0440\u0441\u0438\u0438 (\u0433\u0430\u043b\u043a\u0430 \u043d\u0430 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0435 h_ttps:\/\/vk.com\/settings?act=security \u0432\u0441\u0435 \u0436\u0435 \u043d\u0435 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 HTTPS).<\/font><\/p>\n \u0422\u0430\u043a \u043a\u0430\u043a \u043b\u0435\u0447\u0438\u0442\u044c? \u041e\u043d \u0441\u043e\u043e\u0431\u0449\u0430\u0435\u0442 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0443, \u0447\u0442\u043e \u043d\u0430 \u044d\u0442\u043e\u0442 \u0441\u0430\u0439\u0442 \u043f\u043e HTTP \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0438 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u043c. \u0423\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432\u0440\u0435\u043c\u044f, \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0435 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u0434\u0430\u043d\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 (\u0438 \u043e\u043f\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u0434\u0430\u0442\u044c \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043d\u0430 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u044b).<\/p>\n \u0410 \u0435\u0441\u043b\u0438 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u0440\u0435\u0436\u0438\u043c \u043f\u0430\u0440\u0430\u043d\u043e\u0438\u043a\u0430 \u0438 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u044e, \u0447\u0442\u043e \u0443\u0436\u0435 \u043f\u0440\u0438 \u043f\u0435\u0440\u0432\u043e\u043c \u043f\u043e\u0441\u0435\u0449\u0435\u043d\u0438\u0438 \u0441\u0430\u0439\u0442\u0430 \u0442\u0440\u0430\u0444\u0438\u043a \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442 \u0434\u0430\u043d\u043d\u044b\u0439 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u2014 \u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0441\u0432\u043e\u0439 \u0440\u0435\u0441\u0443\u0440\u0441 \u0432 HSTS preload list \u2014 www.chromium.org\/hsts<\/a>, \u0441\u043f\u0438\u0441\u043e\u043a \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u0440\u0430\u0443\u0437\u0435\u0440 \u0432\u0441\u0435\u0433\u0434\u0430 \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0435\u0449\u0430\u0442\u044c \u043f\u043e HTTPS (\u0442.\u0435. \u0441\u043f\u0438\u0441\u043e\u043a \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 \u00ab\u0437\u0430\u0448\u0438\u0432\u0430\u0435\u0442\u0441\u044f\u00bb \u043f\u0440\u044f\u043c\u043e \u0432 \u0431\u0440\u0430\u0443\u0437\u0435\u0440, \u0440\u0430\u0441\u0448\u0430\u0440\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043c\u0435\u0436\u0434\u0443 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430\u043c\u0438).<\/p>\n \u0421\u0442\u0430\u0442\u044c\u044f \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0430\u044f, \u043d\u0435 \u043e\u0442\u0447\u0430\u0438\u0432\u0430\u0439\u0442\u0435\u0441\u044c :0 \u0420\u0430\u0437\u0433\u043e\u0432\u0430\u0440\u0438\u0432\u0430\u044f \u043f\u0440\u043e HTML5 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 \u043d\u043e\u0432\u044b\u0445 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u0432, \u043d\u043e \u0438 \u043d\u043e\u0432\u044b\u0445 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 API, \u043e\u043d (HTML5) \u043f\u0440\u0438\u043d\u0435\u0441 \u043c\u043d\u043e\u0433\u043e \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0433\u043e \u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0433\u043e, \u0432 \u0442.\u0447. \u043f\u043e \u043a\u0440\u043e\u0441\u0441\u0434\u043e\u043c\u0435\u043d\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u0435. \u0410 \u0447\u0435\u0433\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0435 \u043f\u0440\u0438\u0434\u0443\u043c\u044b\u0432\u0430\u043b\u0438, \u0438 \u0444\u0430\u0439\u043b\u0438\u043a\u0438 \u00abproxy.php\u00bb \u0432 \u043a\u043e\u0440\u043d\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0443\u0436\u0430\u0441\u043d\u044b\u0435 \u043a\u043e\u0441\u0442\u044b\u043b\u0438. <\/p>\n \u041f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u0438\u043c \u0441\u0435\u0431\u0435, \u0447\u0442\u043e \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0434\u0432\u0430 \u043e\u0431\u044a\u0435\u043a\u0442\u0430 window (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u0442\u0435\u043a\u0443\u0449\u0435\u0435 \u043e\u043a\u043d\u043e \u0438 window \u043e\u0442 iframe \u0438\u043b\u0438 \u043f\u043e\u0441\u043b\u0435 window.open).<\/p>\n \u0421\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043d\u0430 \u0434\u043e\u043c\u0435\u043d\u0435 abc.com \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u00ab\u0441\u0435\u043a\u0440\u0435\u0442\u043d\u043e\u0435\u00bb \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u0432 \u0434\u0440\u0443\u0433\u043e\u0435 \u043e\u043a\u043d\u043e <\/p>\n \u0421\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043d\u0430 \u0434\u043e\u043c\u0435\u043d\u0435 xyz.com \u0441\u043b\u0443\u0448\u0430\u0435\u0442 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442, \u043e\u0442\u043a\u0443\u0434\u0430 \u043e\u043d\u0438 \u043f\u0440\u0438\u0448\u043b\u0438 <\/p>\n \u0412 \u0446\u0435\u043b\u043e\u043c \u0442\u0430\u043a\u043e\u0439 \u0432\u0430\u0440\u0438\u0430\u043d\u0442 \u0432\u0435\u0440\u043d\u044b\u0439 \u2014 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c origin, \u043a\u0443\u0434\u0430 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c (\u0447\u0442\u043e\u0431\u044b \u043d\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0432 \u00ab\u043e\u043a\u043d\u043e\u00bb \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u043c\u0443), \u0438 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0442\u044c, \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044f \u043e\u0442\u043a\u0443\u0434\u0430 \u043f\u0440\u0438\u0448\u043b\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435. \u041d\u043e \u0432 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0442\u0430\u043a \u0431\u044b\u0432\u0430\u0435\u0442 \u0440\u0435\u0434\u043a\u043e, \u0430 \u0447\u0430\u0449\u0435 \u043d\u0443\u0436\u043d\u043e \u0442\u0430\u043a\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0434\u043b\u044f \u0432\u0441\u0435\u0433\u043e \u043f\u0440\u043e\u0435\u043a\u0442\u0430 (\u0432\u0441\u0435\u0445 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u043e\u0432)<\/p>\n \u0423\u044f\u0437\u0432\u0438\u043c\u044b\u0439 \u043a\u043e\u0434!<\/b> <\/p>\n \u0418 \u043f\u043e\u0440\u043e\u0439 \u043c\u043e\u0436\u043d\u043e \u0432\u0441\u0442\u0440\u0435\u0442\u0438\u0442\u044c \u0442\u0430\u043a\u043e\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u0439<\/b> \u043a\u043e\u0434. example.com.attacker.com \u0442\u043e\u0436\u0435 \u0441\u043c\u0430\u0442\u0447\u0438\u0442\u0441\u044f (\u0434\u043e\u043c\u0435\u043d \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e). \u0422\u0430\u043a \u0447\u0442\u043e:<\/p>\n \u0418 \u0441\u043d\u043e\u0432\u0430 \u043f\u0440\u043e \u043a\u0440\u043e\u0441\u0441\u0434\u043e\u043c\u0435\u043d\u043d\u0443\u044e \u0440\u0430\u0431\u043e\u0442\u0443. CORS \u043a\u043b\u0435\u0432\u0430\u044f, \u043c\u043e\u0434\u043d\u0430\u044f, \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u0430\u044f \u0448\u0442\u0443\u043a\u0430 \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0441\u043b\u043e\u0436\u043d\u043e \u043d\u0430\u043a\u043e\u0441\u044f\u0447\u0438\u0442\u044c. \u041e\u0447\u0435\u043d\u044c \u0441\u043b\u043e\u0436\u043d\u043e, \u043d\u043e\u2026 \u0431\u044b\u0432\u0430\u0435\u0442 \ud83d\ude42<\/p>\n \u041f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0442\u0430\u043a\u0436\u0435 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0443 \u0441\u043e\u043e\u0431\u0449\u0438\u0442\u044c, \u043a\u0430\u043a \u0435\u043c\u0443 \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0432 \u043e\u0431\u0445\u043e\u0434 SOP. \u041f\u0440\u0438 \u043a\u0440\u043e\u0441\u0441\u0434\u043e\u043c\u0435\u043d\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u0435 \u0438 \u043f\u0435\u0440\u0432\u043e\u043c \u0437\u0430\u043f\u0440\u043e\u0441\u0435 OPTIONS \u0441\u0435\u0440\u0432\u0435\u0440 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u0447\u0442\u043e-\u0442\u043e \u0442\u0438\u043f\u0430 <\/p>\n \u0418\u043b\u0438 <\/p>\n \u0412 \u043f\u0435\u0440\u0432\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u0441\u043e\u043e\u0431\u0449\u0430\u0435\u0442\u0441\u044f, \u0447\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0432 \u043e\u0431\u0445\u043e\u0434 SOP \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u043b\u044e\u0431\u043e\u0433\u043e \u0434\u043e\u043c\u0435\u043d\u0430, \u0432\u043e \u0432\u0442\u043e\u0440\u043e\u043c \u2014 \u0442\u043e\u043b\u044c\u043a\u043e \u0441 example.com. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c, \u043c\u043e\u0436\u043d\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043c\u0435\u0442\u043e\u0434\u044b, \u043f\u043e \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u044d\u0442\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e \u0438 \u0442.\u0434.<\/p>\n \u041d\u043e \u043f\u043e \u0434\u0435\u0444\u043e\u043b\u0442\u0443 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u2014 cookies) \u0431\u0440\u0430\u0443\u0437\u0435\u0440 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u043d\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442, \u0447\u0442\u043e \u0447\u0430\u0449\u0435 \u0432\u0441\u0435\u0433\u043e \u0438 \u043d\u0443\u0436\u043d\u043e. \u041d\u0443\u0436\u043d\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a <\/p>\n \u041a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u043e\u0431\u0449\u0438\u0442 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0443, \u0447\u0442\u043e \u0442\u0435\u043f\u0435\u0440\u044c \u0434\u0435\u043b\u0430\u0442\u044c \u043a\u0440\u043e\u0441\u0441\u0434\u043e\u043c\u0435\u043d\u043d\u044b\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043a\u0443\u043a\u0430\u043c\u0438 (\u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0441\u0435\u0441\u0441\u0438\u0435\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f). \u041d\u043e! \u0421\u0430\u043c\u043e\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435 \u0447\u0442\u043e \u0443\u0436\u0435 \u043d\u0430\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u044e\u0449\u0438\u0439\u0441\u044f \u043c\u0438\u0441\u043a\u043e\u043d\u0444\u0438\u0433 Allow-Origin: * (\u043b\u044e\u0431\u043e\u0439 \u0441\u0430\u0439\u0442) + Allow-Credentials \u0432\u043c\u0435\u0441\u0442\u0435 \u043d\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442. \u0411\u0440\u0430\u0443\u0437\u0435\u0440 \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c cookies \u0438 \u044d\u0442\u043e \u0445\u043e\u0440\u043e\u0448\u043e (\u0442\u0430\u043a \u043a\u0430\u043a \u0432 \u044d\u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043d\u0435 \u0441\u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043e\u0442 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0441 \u0441\u0435\u0441\u0441\u0438\u0435\u0439). \u0422.\u0435. \u0434\u0430\u043d\u043d\u0430\u044f \u043e\u043f\u0446\u0438\u044f \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u043e\u0433\u0434\u0430, \u043a\u043e\u0433\u0434\u0430 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e \u0443\u043a\u0430\u0437\u0430\u043d\u044b \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043d\u044b\u0435 \u0434\u043e\u043c\u0435\u043d\u044b.<\/p>\n \u041f\u0440\u043e \u00ab\u0431\u044b\u0432\u0430\u0435\u0442\u00bb. \u0420\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043d\u044b\u0435 \u0434\u043e\u043c\u0435\u043d\u044b \u0438\u0437 GET \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 (\u0437\u0430\u043d\u0430\u0432\u0435\u0441).<\/p>\n \u0417\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u044f Web Sockets (WS) \u043f\u0440\u0435\u0436\u0434\u0435 \u0432\u0441\u0435\u0433\u043e \u0441\u0442\u043e\u0438\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0434\u043b\u044f \u043d\u0438\u0445 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043e\u0432 \u0441 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0437\u043d\u0430\u0447\u0438\u043c\u044b\u043c\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f\u043c\u0438. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0437\u0434\u0435\u0441\u044c \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043e\u0431\u0449\u0438\u0435 \u0432\u0435\u0449\u0438<\/p>\n \u0417\u0434\u0435\u0441\u044c \u044f \u0443\u0436\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u0441\u043e\u0448\u043b\u044e\u0441\u044c \u043d\u0430 owasp.org, \u0437\u0430\u043d\u044f\u0442\u043e\u0435 \u0447\u0442\u0438\u0432\u043e \u2014 www.owasp.org\/index.php\/HTML5_Security_Cheat_Sheet<\/a>, \u0445\u043e\u0442\u044c \u0438 \u043d\u0435\u043f\u043e\u043b\u043d\u043e\u0435 (\u0432 \u0434\u043e\u0431\u0430\u0432\u043a\u0443 \u043f\u0440\u043e service workers \u2014 sirdarckcat.blogspot.ru\/2015\/05\/service-workers-secure-open-redirect.html<\/a>, sirdarckcat.blogspot.ru\/2015\/05\/service-workers-new-apis-new-vulns-fun.html<\/a>)<\/p>\n \u0412 \u0446\u0435\u043b\u043e\u043c \u0442\u043e \u0431\u0440\u0430\u0443\u0437\u0435\u0440 \u043e\u043d \u0442\u0430\u043a\u043e\u0439 \u2014 \u0434\u043e\u0432\u0435\u0440\u0447\u0438\u0432\u044b\u0439, \u0435\u043c\u0443 \u043e\u0442\u043a\u0443\u0434\u0430 \u0441\u043a\u0430\u0437\u0430\u043b\u0438 \u0434\u0430\u043d\u043d\u044b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u2014 CSS\/JS\/\u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0438, \u043e\u043d \u043e\u0442 \u0442\u0443\u0434\u0430 \u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u043b. \u041f\u043e\u043b\u0435\u0437\u043d\u043e \u0438 \u0434\u043b\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e, \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u0437\u043b\u043e\u0431\u043d\u044b\u0439 js \u0444\u0430\u0439\u043b \u0441 \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u0434\u043e\u043c\u0435\u043d\u0430 \u043f\u0440\u0438 XSS \u0430\u0442\u0430\u043a\u0435. \u0427\u0442\u043e\u0431\u044b \u0441\u043d\u0438\u0437\u0438\u0442\u044c \u0440\u0438\u0441\u043a\u0438 \u043e\u0442 XSS \u0430\u0442\u0430\u043a (\u0438 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e) \u043f\u0440\u0438\u0434\u0443\u043c\u0430\u043b\u0438 Content Security Policy (CSP).<\/p>\n \u042d\u0442\u043e\u0442 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u0441\u043e\u043e\u0431\u0449\u0430\u0435\u0442 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0443, \u043e\u0442\u043a\u0443\u0434\u0430 \u043c\u043e\u0436\u043d\u043e \u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0440\u0435\u0441\u0443\u0440\u0441\u044b (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u2014 js), \u0430 \u043e\u0442\u043a\u0443\u0434\u0430 \u043d\u0435\u043b\u044c\u0437\u044f. \u0421\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0434\u0430\u0436\u0435 \u0438\u043c\u0435\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0432\u043d\u0435\u0434\u0440\u0438\u0442\u044c js \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0435\u0433\u043e \u043d\u0435 \u0441\u043c\u043e\u0436\u0435\u0442 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0435\u0441\u043b\u0438 \u0437\u0430\u043f\u0440\u0435\u0449\u0435\u043d\u044b inline js + \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0441 \u0434\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u044b\u0445 \u0434\u043e\u043c\u0435\u043d\u043e\u0432).<\/p>\n \u041d\u043e \u0431\u044b\u0432\u0430\u0435\u0442 \u0442\u0430\u043a, \u0447\u0442\u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0432\u0441\u0435-\u0442\u0430\u043a\u0438 \u043c\u043e\u0436\u0435\u0442 \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0441\u0432\u043e\u0439 js \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0435\u0433\u043e, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0435\u0441\u043b\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f (\u043a \u043f\u0438\u0441\u044c\u043c\u0443, \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044e) \u043d\u0430\u0445\u043e\u0434\u044f\u0442\u0441\u044f \u043d\u0430 \u0434\u043e\u043c\u0435\u043d\u0435 \u0438\u0437 \u0431\u0435\u043b\u043e\u0433\u043e \u0441\u043f\u0438\u0441\u043a\u0430.<\/p>\n \u0411\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e CSP \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u043b\u0441\u044f \u043c\u043d\u043e\u0433\u043e \u0440\u0430\u0437, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u043d\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0439 \u0432\u0441\u0442\u0440\u0435\u0447\u0435 OWASP Russia \u0432 \u041c\u043e\u0441\u043a\u0432\u0435, \u043f\u0440\u0435\u0437\u0435\u043d\u0442\u0430\u0446\u0438\u044f \u2014 www.slideshare.net\/OWASP-Russia\/yourprezi-49135416<\/a><\/p>\n \u0421\u0430\u043c\u043e\u0435 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u043e\u0435 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u043e\u0435 \u0441 \u0444\u043b\u044d\u0448\u0435\u043c \u2014 \u044d\u0442\u043e \u0444\u0430\u0439\u043b crossdomain.xml. \u042d\u0442\u043e xml \u0444\u0430\u0439\u043b, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0444\u043b\u044d\u0448 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0440\u0430\u0431\u043e\u0442\u044b \u0441 \u0434\u0430\u043d\u043d\u044b\u043c \u0434\u043e\u043c\u0435\u043d\u043e\u043c (\u0441\u043d\u043e\u0432\u0430 \u0440\u0435\u0447\u044c \u043f\u0440\u043e SOP). \u0418 \u0437\u0434\u0435\u0441\u044c \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u044f \u043a\u0430\u043a \u0441 CORS \u043d\u0435 \u043f\u0440\u043e\u0439\u0434\u0435\u0442. \u0415\u0441\u043b\u0438 \u0443\u043a\u0430\u0437\u0430\u043d\u043e, \u0447\u0442\u043e \u043b\u044e\u0431\u043e\u0439 \u0434\u043e\u043c\u0435\u043d \u0438\u043c\u0435\u0435\u0442 \u0434\u043e\u0441\u0442\u0443\u043f (\u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043a\u0443\u043a\u0430\u043c\u0438) \u2014 \u0437\u043d\u0430\u0447\u0438\u0442 \u043b\u044e\u0431\u043e\u0439. \u0418 \u044d\u0442\u043e, \u043a\u043e\u043d\u0435\u0447\u043d\u043e, \u043f\u043b\u043e\u0445\u043e. \u041f\u0440\u0438\u043c\u0435\u0440 \u0442\u0430\u043a\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430:<\/p>\n \u0424\u043b\u044d\u0448\u043a\u0430 \u0441 \u043b\u044e\u0431\u043e\u0433\u043e \u0434\u043e\u043c\u0435\u043d\u0430 \u043c\u043e\u0436\u0435\u0442 \u043e\u0431\u0440\u0430\u0449\u0430\u0442\u044c\u0441\u044f \u043a \u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u0440\u0435\u0441\u0443\u0440\u0441\u0443 (\u0433\u0434\u0435 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d \u0442\u0430\u043a\u043e\u0439 crossdomain) \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043a\u0443\u043a\u0430\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f. \u041d\u043e \u044d\u0442\u043e \u0441\u0430\u043c\u044b\u0439 \u0447\u0430\u0441\u0442\u044b\u0439 \u0441\u043b\u0443\u0447\u0430\u0439, \u0431\u044b\u0432\u0430\u0435\u0442 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u0435\u0435.<\/p>\n \u0418\u0437 \u043e\u043f\u044b\u0442\u0430 \u0431\u0430\u0433\u0445\u0430\u043d\u0442\u0438\u043d\u0433\u0430 \u043d\u0430 wamba.com \u2014 \u0443 \u043d\u0438\u0445 \u0431\u044b\u043b\u043e \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u0432 \u044d\u0442\u043e\u043c \u0444\u0430\u0439\u043b\u0435 (\u043c\u043d\u043e\u0433\u043e \u0440\u0430\u0437 \u043f\u0435\u0440\u0435\u0435\u0437\u0436\u0430\u043b\u0438 \u0438 \u043c\u0435\u043d\u044f\u043b\u0438 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u0430). \u041a\u0430\u043a \u0438\u0442\u043e\u0433 \u0432 \u0444\u0430\u0439\u043b\u0435 \u043e\u043a\u0430\u0437\u0430\u043b\u0438\u0441\u044c \u0434\u043e\u043c\u0435\u043d\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u0436\u0435 \u0434\u0430\u0432\u043d\u043e \u0438\u0441\u0442\u0435\u043a\u043b\u0438. \u041c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0438\u0445 \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0430\u0442\u0430\u043a\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 wamba.com. \u0414\u0430\u043b\u0438 3 \u0442\u044b\u0441\u044f\u0447\u0438 (:<\/p>\n XSS \u0432\u043e\u0437\u043c\u043e\u0436\u0435\u043d \u0438 \u0447\u0435\u0440\u0435\u0437 Flash \u0444\u0430\u0439\u043b\u044b. \u041f\u0440\u0438\u043c\u0435\u0440 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0433\u043e AS \u043a\u043e\u0434\u0430 <\/p>\n \u041f\u0440\u0438\u043c\u0435\u0440 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438: <\/p>\n \u0424\u043b\u044d\u0448 \u043f\u043e\u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u043f\u0435\u0440\u0435\u0439\u0442\u0438 \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 javascript: \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0439 JS \u043a\u043e\u0434. SWF \u043b\u0435\u0433\u043a\u043e \u0434\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0442\u0441\u044f, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0438\u0441\u0445\u043e\u0434\u043d\u0438\u043a\u0438 (\u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e) \u043d\u0435 \u043d\u0443\u0436\u043d\u044b. \u041f\u043e\u0447\u0438\u0442\u0430\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043f\u0440\u043e \u044d\u0442\u043e\u0442 \u0441\u043f\u043e\u0441\u043e\u0431 \u0430\u0442\u0430\u043a\u0438 \u0438 \u043d\u0430\u0439\u0442\u0438 \u0441\u043f\u0438\u0441\u043e\u043a \u0443\u044f\u0432\u0438\u0437\u043c\u044b\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u043c\u043e\u0436\u043d\u043e \u043d\u0430 OWASP \u2014 www.owasp.org\/index.php\/Testing_for_Cross_site_flashing_<\/a>(OTG-CLIENT-008)<\/p>\n \u041d\u0443 \u0430 \u0442\u0435\u043f\u0435\u0440\u044c \u0438\u0437 \u0441\u0432\u0435\u0436\u0435\u043d\u044c\u043a\u043e\u0433\u043e \u043f\u0440\u043e \u0444\u043b\u044d\u0448 \u0438\u0437 2015. \u042d\u0442\u043e\u0439 \u0432\u0435\u0441\u043d\u043e\u0439 \u043d\u0430 Troopers \u0431\u044b\u043b \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u0440\u0430\u0431\u043e\u0447\u0438\u0439 PoC \u0438 \u0442\u0443\u043b\u0437\u044b \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430, \u043a\u0430\u043a \u043f\u0440\u043e\u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u0434\u043d\u0443 \u0441\u0442\u0430\u0440\u0443\u044e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0432\u043e \u0444\u043b\u044d\u0448 \u0444\u0430\u0439\u043b\u0430\u0445, \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 Adobe Flex (\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0438). \u042d\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0439 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a \u0434\u043b\u044f \u0444\u043b\u044d\u0448 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432. \u0412\u0435\u043a\u0442\u043e\u0440 \u0442\u0430\u043a\u043e\u0439 \u2014 \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u043d\u0430 \u0440\u0435\u0441\u0443\u0440\u0441\u0435 \u0442\u0430\u043a\u0443\u044e \u0444\u043b\u044d\u0448\u043a\u0443 (\u0441\u043e\u0431\u0440\u0430\u043d\u043d\u0443\u044e \u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u043c Adobe Flex), \u0433\u0435\u043d\u0435\u0440\u0438\u043c \u0434\u043b\u044f \u043d\u0435\u0435 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043f\u044d\u0439\u043b\u043e\u0430\u0434 (\u0440\u0435\u0441\u0443\u0440\u0441) \u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u043c. \u0418\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u0444\u043b\u044d\u0448\u043a\u0430 \u0441 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u043e\u0433\u043e \u0434\u043e\u043c\u0435\u043d\u0430 \u0441 \u043d\u0430\u0448\u0435\u0439 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u043e\u0439. \u0418\u0442\u043e\u0433 \u2014 \u0441\u043d\u043e\u0432\u0430 \u043e\u0431\u0445\u043e\u0434 SOP.<\/p>\n \u0414\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0442\u0430\u043a\u0438\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 (\u0443\u044f\u0437\u0432\u0438\u043c SWF \u0438\u043b\u0438 \u043d\u0435\u0442) \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0442\u0443\u043b\u0437\u0443 \u2014 github.com\/ikkisoft\/ParrotNG<\/a>, \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u043e\u0447\u0435\u043d\u044c \u043f\u0440\u043e\u0441\u0442\u043e <\/p>\n \u0411\u043e\u043b\u044c\u0448\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 <\/p>\n \u0410\u0432\u0442\u043e\u0440\u044b \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430\u0448\u043b\u0438 \u0442\u0430\u043a\u0438\u0435 \u0444\u043b\u044d\u0448\u043a\u0438 \u0438 \u043d\u0430 \u0433\u0443\u0433\u043b\u0435, \u0438 \u043d\u0430 \u0434\u0440\u0443\u0433\u0438\u0445 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0445 \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u0445 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 Qiwi, Yandex). \u0421\u0432\u043e\u0451 \u00ab\u0441\u0440\u0443\u0431\u0438\u043b\u0438\u00bb \ud83d\ude42<\/p>\n \u042f \u0443\u0436\u0435 \u043f\u0438\u0441\u0430\u043b \u043e\u0431 \u044d\u0442\u043e\u043c \u0432 \u0441\u0442\u0430\u0442\u044c\u0435 \u043f\u0440\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c API, \u043d\u043e \u0441\u0442\u043e\u0438\u0442 \u043f\u043e\u0432\u0442\u043e\u0440\u0438\u0442\u044c\u0441\u044f, \u0434\u043b\u044f \u043f\u043e\u043b\u043d\u043e\u0442\u044b \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438. \u0441 \u0443\u0436\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0435\u0439 parseResponse. \u041d\u043e \u0441\u0443\u0442\u044c \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043c\u043e\u0436\u0435\u0442 \u0442\u0430\u043a\u0436\u0435 \u0432\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u0441\u0432\u043e\u0435\u043c \u0434\u043e\u043c\u0435\u043d\u0435 \u044d\u0442\u043e\u0442 \u0441\u043a\u0440\u0438\u043f\u0442, \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u0441\u0432\u043e\u0439 callback \u0438, \u0435\u0441\u043b\u0438 \u0442\u0430\u043c sensetive \u0434\u0430\u043d\u043d\u044b\u0435 \u2014 \u043a\u0430\u043a-\u0442\u043e \u0438\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c. \u041f\u0440\u0435\u043a\u0440\u0430\u0441\u043d\u044b\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d \u0432 \u0441\u0442\u0430\u0442\u044c\u0435 \u00ab\u0421\u0440\u0430\u0436\u0430\u044f\u0441\u044c \u0441 \u0430\u043d\u043e\u043d\u0438\u043c\u043d\u043e\u0441\u0442\u044c\u044e\u00bb<\/a>.<\/p>\n \u0412\u0440\u043e\u0434\u0435 \u043e\u0431 \u044d\u0442\u043e\u043c 1000 \u0438 1 \u0440\u0430\u0437 \u0441\u043a\u0430\u0437\u0430\u043b\u0438, \u043d\u043e \u0441\u043d\u043e\u0432\u0430 \u043f\u043e\u0432\u0442\u043e\u0440\u0438\u043c. \u041a\u0430\u0436\u0434\u044b\u0439 \u0440\u0435\u0441\u0443\u0440\u0441 \u0431\u0435\u0437 \u0434\u043e\u043f. \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043a \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c \u0432\u043e \u0444\u0440\u0435\u0439\u043c\u0435. \u0424\u0440\u0435\u0439\u043c \u0433\u0440\u0443\u0437\u0438\u0442\u0441\u044f \u0441 \u043a\u0443\u043a\u0430\u043c\u0438 \u0442\u0435\u043a\u0443\u0449\u0435\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0442.\u0435. \u0432\u043e \u0444\u0440\u0435\u0439\u043c\u0435 \u043e\u043d \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0440\u0435\u0441\u0443\u0440\u0441 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u043c (\u0435\u0441\u043b\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043b\u0441\u044f, \u043a\u043e\u043d\u0435\u0447\u043d\u043e \u0436\u0435). \u0414\u0430\u043d\u043d\u044b\u0439 \u0444\u0440\u0435\u0439\u043c \u0432\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u043c \u043d\u0430 \u0441\u0432\u043e\u044e \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443, \u043f\u043e\u0432\u0435\u0440\u0445 \u0440\u0438\u0441\u0443\u0435\u0442\u0441\u044f \u0447\u0442\u043e \u043b\u0438\u0431\u043e \u043f\u0440\u0438\u0437\u044b\u0432\u0430\u044e\u0449\u0435\u0435 \u043a \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044e (\u043d\u0430\u0436\u0430\u0442\u044c \u043d\u0430 \u043a\u043d\u043e\u043f\u043a\u0443 \u0438 \u0442.\u043f.), \u044e\u0437\u0435\u0440 \u043a\u043b\u0438\u043a\u0430\u0435\u0442, \u043d\u043e \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u043e\u043d \u043a\u043b\u0438\u043a\u0430\u0435\u0442 \u043d\u0430 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b \u0432\u043e \u0444\u0440\u0435\u0439\u043c\u0435 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u043f\u043e\u0434\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u0433\u0440\u0443\u043f\u043f\u044b). \u0410\u0442\u0430\u043a\u0430 \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f Clickjacking.<\/p>\n X-Frame-Options \u0432 \u043e\u0442\u0432\u0435\u0442\u0435 \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 <\/p>\n \u0421\u0442\u0430\u0442\u044c\u044f \u043f\u0440\u043e clickJacking \u0432 \u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435<\/a><\/p>\n \u0414\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0435\u0441\u0442\u044c \u043f\u043b\u0430\u0433\u0438\u043d\u044b (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u2014 Flash), \u0430 \u0435\u0441\u0442\u044c \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u044f. \u0412\u0442\u043e\u0440\u044b\u0435 \u043f\u0438\u0448\u0443\u0442\u0441\u044f \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043a\u0430\u043a \u0440\u0430\u0437 HTML\/CSS\/JS, \u043e \u0447\u0435\u043c \u0438 \u0438\u0434\u0435\u0442 \u0440\u0435\u0447\u044c \u0432 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435. \u041f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0434\u043b\u044f SmartTV \u043f\u0438\u0448\u0443\u0442\u0441\u044f \u043f\u043e \u0441\u0445\u043e\u0436\u0435\u043c\u0443 \u0441\u043f\u043e\u0441\u043e\u0431\u0443, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u043d\u043e\u0435 API \u0442\u0435\u043b\u0435\u0432\u0438\u0437\u043e\u0440\u043e\u0432 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043a\u0430\u043c\u0435\u0440\u0435). \u0418 \u0435\u0441\u0442\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0438 \u0442\u0443\u0442 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u043a\u043e\u0441\u044f\u0447\u0438\u0442\u044c. \u041f\u0440\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0439 \u044f \u0443\u0436\u0435 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u043b<\/a>, \u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c SmarTV \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 (\u0438 \u0432\u0435\u043a\u0442\u043e\u0440\u044b \u0430\u0442\u0430\u043a \u043d\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 SmartTV) \u043c\u044b \u043e\u0431\u0441\u0443\u0434\u0438\u043c \u043f\u043e\u0437\u0436\u0435. \u041e\u0441\u0442\u0430\u0432\u043b\u044e \u0442\u043e\u043b\u044c\u043a\u043e \u0432\u0438\u0434\u0435\u043e<\/p>\n \u041e \u0447\u0435\u043c \u0432\u043e\u043e\u0431\u0449\u0435 \u0440\u0430\u0437\u0433\u043e\u0432\u043e\u0440?<\/font><\/h1>\n
\u041c\u0435\u0436\u0441\u0430\u0439\u0442\u043e\u0432\u044b\u0439 \u0441\u043a\u0440\u0438\u043f\u0442\u0438\u043d\u0433<\/font><\/h1>\n
![](\"https:\/\/habrastorage.org\/files\/291\/03a\/242\/29103a242077459cacd9a5c8b820cc70.png\"\/)
Cross Site Scripting<\/i>
\u0422\u0435\u043c\u0430 XSS \u0438\u0437\u044a\u0435\u0437\u0436\u0435\u043d\u0430 \u043a\u0430\u043a \u0442\u043e\u043b\u044c\u043a\u043e \u043c\u043e\u0436\u043d\u043e, \u043d\u043e \u043e\u0431\u044b\u0447\u043d\u043e \u0440\u0435\u0447\u044c \u0438\u0434\u0435\u0442 \u043e \u043d\u0435\u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e\u0439 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u043d\u043e\u0439 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 (\u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043c\u043e\u0436\u0435\u0442 \u0432\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0441\u0432\u043e\u0439 JS \u043a\u043e\u0434 \u0432 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0435\u0433\u043e, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0432 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0435 \u0436\u0435\u0440\u0442\u0432\u044b, \u043e\u0442 \u0438\u043c\u0435\u043d\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0433\u043e origin, \u0438\u0442\u043e\u0433 \u2014 \u043e\u0431\u0445\u043e\u0434 SOP). \u0418 \u0432\u044b\u0434\u0435\u043b\u0438\u043b\u0438 \u0442\u0430\u043c 2 \u0432\u0438\u0434\u0430 XSS \u0430\u0442\u0430\u043a \u2014 stored (\u00ab\u0437\u043b\u043e\u0431\u043d\u044b\u0439\u00bb js \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435) \u0438 reflected (\u043e\u0442\u0434\u0430\u0435\u0442\u0441\u044f \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u0431\u0435\u0437 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f).<\/p>\ndocument.write("Site is at: " + document.location.href); <\/code><\/pre>\nhttp:\/\/victim.com\/action#<script>alert('xss')<\/script>\u0455 <\/code><\/pre>\n\n
\n
(function(g){var a=location.href.split("#!")[1];if(a){g.location=g.HBR=a;}})(window); <\/code><\/pre>\n![\"image\"\/](\"https:\/\/habrastorage.org\/getpro\/habr\/post_images\/77e\/695\/f34\/77e695f34bca9e1f8f775abde7a6e1d4.jpg\")
\u041f\u0440\u0438\u043c\u0435\u0440 DOM XSS \u043d\u0430 twititer.com<\/i><\/p>\n\u0423\u0442\u0435\u0447\u043a\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438<\/font><\/h1>\n
\u041f\u0440\u043e javascript<\/font><\/h2>\n
var dl = (''+document.location), host = document.location.host, branch = 'master', path = 'release\/467', base = 'r\/webagent\/', probability = [ {"branch": "wa-514", "deprecated":1} ], lastForcedVersion = '20131126154524', isLocalhost = dl.indexOf('localhost') != -1, testServer = host.match(\/[^.]+\\.((?:f|my\\.rapira)\\d*)\\.mail\\.ru\/), devServer = host.match(\/^.+\\.dev\\.mail\\.ru$\/), isRapira = testServer && testServer[1].indexOf('my.rapira') == 0, utf = true,\/\/!!window.IS_UTF, domainProps = {}, domain = '\/\/img.imgsmail.ru', login = getUserLogin(), useBranch = (dl.match(\/\\Wwa_use_branch=([a-z0-9-]*)\/i)||[0,false])[1], useLang = (dl.match(\/\\Wwa_lang=([a-z]{2})\/i)||[0,false])[1], useOnce = (dl.match(\/\\Wbranch=([a-z0-9-]*)\/i)||[0,false])[1], appVersion = (dl.match(\/\\Wwa_appver=([\\.0-9]*)\/i)||[0,false])[1], usedBranch = branch; <\/code><\/pre>\ninternalDevHOST = '172.16.22.2'; internalProdHOST = '172.16.22.5'; <\/code><\/pre>\nCSS<\/font><\/h2>\n
file\\:\\\/\\\/\\\/applications\\\/hackerone\\\/releases\\\/20140221175929\\\/app\\\/assets\\\/stylesheets\\\/application\\\/browser-not-supported\\.scss file\\:\\\/\\\/\\\/applications\\\/hackerone\\\/releases\\\/20140221175929\\\/app\\\/assets\\\/stylesheets\\\/application\\\/modules\\\/add-category\\.scss file\\:\\\/\\\/\\\/applications\\\/hackerone\\\/releases\\\/20140221175929\\\/app\\\/assets\\\/stylesheets\\\/application\\\/modules\\\/alias-preview\\.scss ... <\/code><\/pre>\nMVC \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0438<\/font><\/h1>\n
<ul> <li ng-repeat="phone in phones"> <span>{{phone.name}}<\/span> <p>{{phone.snippet}}<\/p> <\/li> <\/ul> <\/code><\/pre>\n![\"image\"\/](\"https:\/\/habrastorage.org\/getpro\/habr\/post_images\/0f7\/61a\/abc\/0f761aabce5b2716f2a50898140f8bab.jpg\")
<\/p>\n\n
<div class="ng-app"> {{constructor.constructor('alert(1)')()}} <\/div> <\/code><\/pre>\n{{ (_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')() }} <\/code><\/pre>\nCookies<\/font><\/h1>\n
\u041a\u0430\u043a \u043e\u0431\u044b\u0447\u043d\u043e \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u044e\u0442 cookie \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u043d\u043e\u0439 \u0441\u0442\u043e\u0440\u043e\u043d\u0435?<\/p>\n<?php setcookie('foo','bar1'); ?> <\/code><\/pre>\nimport Cookie C = Cookie.SimpleCookie() C["foo"] = "bar" print C <\/code><\/pre>\nSet-Cookie: foo=bar <\/code><\/pre>\n\n
\u041f\u0435\u0440\u0435\u0445\u043e\u0434 \u043d\u0430 HTTPS<\/font><\/h1>\n
![](\"http:\/\/techguider.net\/wp-content\/uploads\/2015\/04\/vkontakte-menjaet-domennoe-imja-na-vk.jpg\"\/)
\u0418\u0441\u0442\u043e\u0440\u0438\u044f \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043f\u0440\u044f\u043c\u043e \u043f\u043e\u0434 \u044d\u0442\u043e\u0439 \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u043e\u0439<\/i><\/p>\n
\u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u0438\u0434\u0443\u043c\u0430\u043b\u0438 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a HSTS <\/p>\nStrict-Transport-Security: max-age=31536000; <\/code><\/pre>\n\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c HTML5<\/font><\/h1>\n
Window.postMessage()<\/font><\/h2>\n
otherWindow.postMessage(message, targetOrigin); <\/code><\/pre>\nwindow.addEventListener("message", receiveMessage, false); function receiveMessage(event) { if (event.origin !== "http:\/\/example.org:8080") return; \/\/ ... } <\/code><\/pre>\nif(message.orgin.indexOf(".example.com")!=-1) { \/* ... *\/ } <\/code><\/pre>\n\n
HTTP access control (CORS)<\/font><\/h2>\n
Access-Control-Allow-Origin: * <\/code><\/pre>\nAccess-Control-Allow-Origin: example.com <\/code><\/pre>\nAccess-Control-Allow-Credentials: true <\/code><\/pre>\nWeb Sockets<\/font><\/h2>\n
\n
Content Security Policy<\/font><\/h2>\n
![\"image\"\/](\"https:\/\/habrastorage.org\/getpro\/habr\/post_images\/b54\/ead\/b59\/b54eadb59cdfef5166e12d5f1fb16f16.png\")
\u041e\u0448\u0438\u0431\u043a\u0430 \u043f\u043e\u0434\u0433\u0440\u0443\u0437\u043a\u0438 JS \u0444\u0430\u0439\u043b\u0430 \u0441 \u0434\u043e\u043c\u0435\u043d\u0430, \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043d\u0435\u0442 \u0432 \u00ab\u0431\u0435\u043b\u043e\u043c\u00bb \u0441\u043f\u0438\u0441\u043a\u0435<\/i><\/p>\nFlash<\/font><\/h1>\n
![\"image\"\/](\"https:\/\/habrastorage.org\/getpro\/habr\/post_images\/861\/006\/7c3\/8610067c3ed6a44fb1a3f6621004231f.jpg\")
<\/a>
\u042f \u044d\u0442\u043e \u0441\u0435\u0440\u044c\u0435\u0437\u043d\u043e? \u041f\u0440\u043e flash? \u0412\u043e\u043e\u0431\u0449\u0435 \u2014 \u0434\u0430. \u0414\u043b\u044f \u043a\u043e\u0433\u043e-\u0442\u043e \u044d\u0442\u043e \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u043e, \u0430 \u043a \u043c\u043d\u043e\u0433\u0438\u0445 \u043e\u043d \u0438\u0441\u0442\u043e\u0440\u0438\u0447\u0435\u0441\u043a\u0438 \u0433\u0434\u0435-\u0442\u043e \u0435\u0449\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442. \u0414\u0430 \u0443\u0436\u0435 \u0432 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u0431\u044b\u043b \u043e\u0434\u0438\u043d \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u043d\u044b\u0439 \u0441\u043b\u0443\u0447\u0430\u0439 \u0441 \u0444\u043b\u0435\u0448\u0435\u043c \u0441 \u00ab\u043d\u043e\u0432\u043e-\u0441\u0442\u0430\u0440\u043e\u0439\u00bb \u0431\u0430\u0433\u043e\u0439, \u043f\u0440\u043e \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432 \u0440\u0443\u043d\u0435\u0442\u0435 \u0442\u0430\u043a \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u043d\u0430\u043f\u0438\u0441\u0430\u043b \ud83d\ude41 \u041d\u043e \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e \u043f\u043e\u0440\u044f\u0434\u043a\u0443.<\/p>\ncrossdomain.xml<\/font><\/h2>\n
<cross-domain-policy> <allow-access-from domain="*" to-ports="80"\/> <\/cross-domain-policy> <\/code><\/pre>\nXSS \u0447\u0435\u0440\u0435\u0437 Flash<\/font><\/h2>\n
getURL(_root.URI,'_targetFrame'); <\/code><\/pre>\nhttp:\/\/victim\/file.swf?URI=javascript:evilcode <\/code><\/pre>\nCVE-2011-2461 IS BACK!<\/font><\/h2>\n
java -jar parrotng_v0.2.jar <SWF File | Directory> <\/code><\/pre>\n\n
\u0420\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0447\u0435\u0440\u0435\u0437 JSONP<\/font><\/h1>\n
\u0418\u043d\u043e\u0433\u0434\u0430 API \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f \u043a\u0430\u043a\u043e\u0433\u043e-\u0442\u043e \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u0433\u043e \u044e\u0437\u0435\u0440\u0430, \u0430 \u043f\u043e\u0440\u043e\u0439 \u0438 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0441\u044b\u043b\u043a\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430. \u0427\u0430\u0441\u0442\u043e \u044d\u0442\u043e \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u0431\u043e\u043b\u044c\u0448\u0438\u0445, \u043a\u0440\u0443\u043f\u043d\u044b\u0445 \u0441\u0430\u0439\u0442\u0430\u0445 \u0441 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u043c\u0438 \u0434\u043e\u043c\u0435\u043d\u0430\u043c\u0438. \u0418 \u043a\u0430\u043a-\u0442\u043e \u043d\u0430\u0434\u043e \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u043a\u043b\u0438\u0435\u043d\u0442\u0430 \u043c\u0435\u0436\u0434\u0443 \u0434\u043e\u043c\u0435\u043d\u0430\u043c\u0438, \u0438 \u0442\u0443\u0442 \u043d\u0430 \u043f\u043e\u043c\u043e\u0449\u044c \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442 JSONP. \u042d\u0442\u043e \u0442\u0430\u043a\u043e\u0439 JSON \u0441 \u043d\u0443\u0436\u043d\u044b\u043c\u0438 \u043d\u0430 \u0434\u043e\u043c\u0435\u043d\u0435 1, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0431\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0432 callback. \u041f\u0440\u0438 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0438 \u043d\u0430 \u0434\u043e\u043c\u0435\u043d 1 \u044e\u0437\u0435\u0440 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442 \u0441\u0432\u043e\u0438 \u043a\u0443\u043a\u0438, \u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c, \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d \u043b\u0438 \u043e\u043d \u0438 \u0432\u044b\u0434\u0430\u0442\u044c \u043d\u0443\u0436\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435. \u041d\u0430 \u0432\u0442\u043e\u0440\u043e\u043c \u0434\u043e\u043c\u0435\u043d\u0435 \u0432\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0439 JS<\/p>\n<script type="application\/javascript" src="http:\/\/server1.example.com\/api\/getUserInfo?jsonp=parseResponse"> <\/script> <\/code><\/pre>\nX-Frame-Options<\/font><\/h1>\n
\n
![\"image\"\/](\"https:\/\/habrastorage.org\/getpro\/habr\/post_images\/9af\/f2c\/c8d\/9aff2cc8d831d0e4cb03b0ca6d0e9707.jpg\")
<\/p>\nExtensions \/ SmartTV<\/font><\/h1>\n