A külső scriptek már most is le vannak tiltva, csak inline kódot adhatsz meg ahogy látom (bár az valszeg betölthet egy másik, immár külső helyről származót). A szavazótopikban minimális script töltődött az SG-re, csak azért volt anno külön behúzva mert egyszerűbb volt dolgozni vele. Illetve átadtam a házigazda szerepet másoknak, szóval hozzáférésem sem volt utólag.
Ha httpOnly sütiket használna az oldal, akkor mindez nem lenne probléma. Könnyű átírni szerveroldalon, megmarad a biztonság, és még a mostani scriptek is mehetnek tovább, módosítani sem kell őket. Még azokat sem, amik saját célra továbbra is használnának sütiket, bár arra amúgy is szerencsésebb lenne a localStorage.
Az előző CSRF dologgal meg az a helyzet, hogy nagyon könnyen lehet célzottan és automatizálva használni. Nem akarok tippeket adni a rosszakaróknak, ezt az egészet csak azért hoztam fel mert most sem védett eléggé az oldal. A scriptes mókára meg megoldást kínál a fenti ötlet. Szóval lehetne ez jó, csak kapacitás kell hozzá. Én azt is értem hogy j0nNyKa ezt hobbiból csinálja, de legalább ne az legyen az indoklás most már évek óta hogy nem lehet. Lehet azt, csak a megfelelő embereknek is akarni kell.