Неочевидные угрозы: как защититься от атак на десериализацию, XSS и чтение произвольных файлов Хабр
Если пользователь посещает URL-адрес созданный злоумышленником, сценарий злоумышленника выполняется в браузере пользователя в контексте сеанса этого пользователя с приложением. В этот момент сценарий может выполнять любые действия и извлекать любые данные, к xss атака которым у пользователя есть доступ. С помощью XSS злоумышленник может сделать как
by
