Jeżeli człowiek ma dostęp do znaczników html w formularzu, to jakie może zrobić szkody. To znaczy, co mam zablokować by ktoś szkód nie zrobił na stronie. Oczywiście już zablokowałem znaczniki script, style, div i przede wszystkim php. Czy coś jeszcze mam zablokować, by np nie zakrył strony?
Najlepiej wszystko, jak ci zalezy na formatowaniu to zrob se jakis bbcode.
BTW, co to za znacznik php? Bo pierwsze slysze.
a co powiesz na:<strong style="display:block; width:expression(document.innerWidth); (etc etc)">blabla</strong>
?
zrob jak napisał Wolverine, możesz jako "znaczników" użyć tagów PHP (tak, jak jest na 4p?), ale nie na zasadzie cenzury, a parsowania. Przy okazji będziesz się mógł pozbyć
o< b>a
anego kodu
Php to nie jest znacznik... o znaczniki mi chodziło script style, div.... A document. to juz zablokowałem i jak pisałem style tez. A do bbcode raczej w moim wypadku wypada.
A dlaczego niby zablokowałeś div? Jak div to i span powinien być, ale z każdym znacznikiem stylami da się zrobić by zachowywał się inaczej niż powinien - w ogóle możesz wyrzucić atrybut style.
Albo zwyczajnie pozwolić tylko na strong, em, img, code, pre, blockquote, p, ins, del, acronym i abbr -> jeżeli to są komentarze do artykułów czy czegoś takiego to taki zestaw całkowicie wystarcza w większości przypadków.
Bo divie styl można podrasować i zakryje całą strone, np style='position:absolute;' . to najlepiej zablokować style, bo to jest chyba najważniejsze.
Każdemu znacznikowi styl można podrasować - IMO najlepiej jest pozwolić na określone znaczniki, bez atrybutu style co najwyżej (albo w ogóle bez atrybutów). Pamiętaj też o wykluczaniu zdarzeń JavaScriptu wszystkich, by ustrzec się XSS.
Oczywiście js na 1 miejscu. Bo ja chce użyc ajaxowego edytora na strone. Podobnego do fronpaga . http://bordeux.net/ftp/edytor/examples/example.html , no i teraz musze go zabezpieczyć.
ktos- chyba masz 3 procki na http://ktos.jogger.pl/ . Chyba w laptopie tez masz. Reszta to płytki i karty :)