filtri javascript

[marco_rx]

Non so se sia la sezione giusta in cui chiedere, nel caso scusatemi.
Su alcuni siti che permettono di gestire dei piccoli cms (forum, blog ecc..) spesso vengono impostati dei filtri che impediscono l'utilizzo di molte proprietà javascript. Volevo sapere se in alcuni casi queste restizioni non possono sembrare eccessive, ossia cose come getElementsByTagName, textContent o appendChild che danni potrebbero arrecare al sito? All'apparenza non mi sembrano così pericolose da non permetterne l'utilizzo.

 

[maxbossi]

I filtri di cui parli, probabilmente, servono ad evitare il rischio di XSS (Cross Site Scripting).
Molto spesso, quindi, si inibisce l'inserimento di javascript da parte degli utenti.

 

[marco_rx]

Riprendo un attimo questa discussione visto che l'argomento è inerente sempre a questo.

Volevo sapere di concreto che danni può arrecare l'inserimento di javascript? L'unico danno che mi viene in mente è la modifica del markup della pagina o qualcosa di simile, ma non è comunque nulla che possa danneggiare in modo irreparabile l'applicazione, può solo dare un po' di fastidio all'utente ma è una cosa facilmente rimediabile.

Per quanto riguarda invece le richieste ajax, che pericolo possono arrecare di concreto se se ne permette l'utilizzo? Anche se riuscissi ad effettuare una richiesta verso un mio file php che danni potrei arrecare se i dati dell'applicazione sono protetti e non accessibili da quel mio file? Anche in questo caso non mi viene in mente nulla che possa danneggiare in modo irreparabile l'applicazione.

Sapreste spiegarmi e farmi qualche esempio di quali potrebbero essere i reali danni a cui si va incontro non filtrando il codice javascript?