Ну это много где репортить придётся) Тут разве что лимит по запросам в принципе ввести с одного адреса

В моём случае почта, но я спросил про уязвимость в принципе, потому что случай не единичный

Ну это как уже выше написали классический password spraying и есть чуть менее чем везде, наверное

не уязвмисоть

Пришла к вам некая конторка, хочет воткнуть JS на ваш сайт. Однако меры безопасности вызывают вопросы, и не хочется словить js сниффер на главной благодаря админу, поставившему пароль 123 на админку скрипта.

Вопросный вопрос:
Пока в голову приходит только CSP по хешу скрипта, однако при каждом релизе скрипта править хедеры на сервере - идея так себе, мягко говоря. Какие еще могут быть способы закрыть риск проеба на стороне партнера?

хостить с гитхаба, паблиш через ревью

это уже есть

SRI, и править придется не хидеры, а хэш в теге script. Не факт, что это будет удобнее чем править CSP, но вдруг.

равносильно, к сожалению

Хостить жс у себя?

в том то и проблема, что нет

Может быть закинуть на сторонний домен и подгружать через iframe с сендбоксом?

хм, а чуток подробнее про сендбокс?

Iframe же всегда не имеет доступа к вкладке родителю? Он сам по себе и есть некий сандбокс. Можно посмотреть что делают сайты типо codepen jsfiddle итд, они же тоже позволяют любому коду запускатся. Насколько я знаю они все тоже через iframe работают.

у iframe есть sandbox режим в современных браузерах

https://www.w3.org/html/wiki/Elements/iframe да, посмотрел оказывается можно настраивать это тоже

спасибо, потестим :)

Ага, ребята скинули то, что нужно

За xss ту что я нашел, 300$ заплатили, мейл по 250$ платил:)