Безопасность

Neocities — статический хостинг. Серверной защиты нет, поэтому важны правила фронтенда.

Что уже сделано

  • Единый maintenance-переключатель через status.json
  • Минимизация XSS: в новых страницах используется textContent вместо innerHTML
  • Ограничение изображений в заявках (см. подсказку ниже)

Рекомендации

  • Не вставляй пользовательский текст через innerHTML
  • Не принимай .svg как “картинку” в заявках (в svg может быть скрипт)
  • Ограничь размер файла (например, до 2 МБ)
  • Не храни пароли “как есть” — на статике это невозможно сделать безопасно (для настоящей защиты нужен backend)