Это простая функция, которая использует AJAX и получает информацию об изображении в базе данных с id = 219 при нажатии кнопки
Каждый, кто загружает эту веб-страницу, может изменить код javascript, перейдя к исходному коду. Затем, нажав кнопку, он запустит измененный код (например, изменив image_id с 219 до 300). Таким образом, он может получить информацию о любом изображении, просто изменив image_id
Вопрос в том, как защититься от этой атаки на стороне клиента или XSS?
function clicked () {
var xhttp = new XMLHttpRequest () ;
xhttp.onreadystatechange = function () {
if (this.readyState == 4 && this.status == 200){
var obj = JSON.parse (this.responseText);
alert (obj.description);
}
};
xhttp.open ("POST","get_title_description.php", true);
xhttp.setRequestHeader ("Content-type", "application/x-www-form-urlencoded");
xhttp.send ("image_id=219") ;
}