Неа, я не про то =)
XSS (CSS) типа Cross Site Scripting, уязвимость. Но как сказано выше, это не бага, а фича. Просто движек не htmlspeciachars-ит (или что он там делает) сообщения модераторов и администраторов. Т.е. админ/модератор может написать в сообщении JS, или VB-скрипт =)
Имхо AJAX пока не столь развит, чтобы его можно было использовать в серьезных проектах =)
Хотя, видел один форум, с аджаксом, довольно удобно было. Добавление сообщения через форму быстрого ответа без перезагрузки страницы.
|