Jeżeli człowiek ma dostęp do znaczników html w formularzu, to jakie może zrobić szkody. To znaczy, co mam zablokować by ktoś szkód nie zrobił na stronie. Oczywiście już zablokowałem znaczniki script, style, div i przede wszystkim php. Czy coś jeszcze mam zablokować, by np nie zakrył strony?
0
0
Najlepiej wszystko, jak ci zalezy na formatowaniu to zrob se jakis bbcode.
BTW, co to za znacznik php? Bo pierwsze slysze.
0
a co powiesz na:<strong style="display:block; width:expression(document.innerWidth); (etc etc)">blabla</strong>
?
zrob jak napisał Wolverine, możesz jako "znaczników" użyć tagów PHP (tak, jak jest na 4p?), ale nie na zasadzie cenzury, a parsowania. Przy okazji będziesz się mógł pozbyć
o< b>a
anego kodu
0
Php to nie jest znacznik... o znaczniki mi chodziło script style, div.... A document. to juz zablokowałem i jak pisałem style tez. A do bbcode raczej w moim wypadku wypada.
0
A dlaczego niby zablokowałeś div? Jak div to i span powinien być, ale z każdym znacznikiem stylami da się zrobić by zachowywał się inaczej niż powinien - w ogóle możesz wyrzucić atrybut style.
Albo zwyczajnie pozwolić tylko na strong, em, img, code, pre, blockquote, p, ins, del, acronym i abbr -> jeżeli to są komentarze do artykułów czy czegoś takiego to taki zestaw całkowicie wystarcza w większości przypadków.
0
Bo divie styl można podrasować i zakryje całą strone, np style='position:absolute;' . to najlepiej zablokować style, bo to jest chyba najważniejsze.
0
Każdemu znacznikowi styl można podrasować - IMO najlepiej jest pozwolić na określone znaczniki, bez atrybutu style co najwyżej (albo w ogóle bez atrybutów). Pamiętaj też o wykluczaniu zdarzeń JavaScriptu wszystkich, by ustrzec się XSS.
0
Oczywiście js na 1 miejscu. Bo ja chce użyc ajaxowego edytora na strone. Podobnego do fronpaga . http://bordeux.net/ftp/edytor/examples/example.html , no i teraz musze go zabezpieczyć.
ktos- chyba masz 3 procki na http://ktos.jogger.pl/ . Chyba w laptopie tez masz. Reszta to płytki i karty :)