Autor | Zpráva | ||
---|---|---|---|
loulie Profil |
#1 · Zasláno: 12. 4. 2010, 12:36:08
Dobrý den, dá se nějak vypnout html a js ve zprávě? Popřípadě povolit jen něco? Celý dotaz rozepíšu:
Návštěvník webu pomocí formuláře napíše třeba tuto zprávu: <strong>Ahoj</strong> K čemu mi to je? Na web mi chodí návštěvník, který do zprávy napíše pomocí JS kód, který začne otevírat další okna mého webu --> Pořád do nekonečna. Nyní už byla jeho IP zabanována pomocí .htaccess, ale čím víc ochran, tím líp... Děkuji |
||
Chamurappi Profil |
#2 · Zasláno: 12. 4. 2010, 12:48:39
Reaguji na loulie:
„ale čím víc ochran, tím líp...“ Zabanování IP adresy není vůbec ochrana. „Následně se vypíše na jiné stránce...“ Pokud vpisuješ nějaká data dovnitř jiných dat, musíš brát ohledy na syntaktická pravidla cílového formátu. Stejně, jako nedopustíš, aby do SQL dotazu prošel jen tak apostrof ukončující vkládaný řetězec, následovaný sledem zákeřných SQL dotazů, musíš ošetřit i text vkládaný do HTML, aby nedával pisateli kontrolu nad stránkou. To je přeci docela triviální úvaha, ne? Když chceš napsat menšítka a většítka do HTML kódu tak, aby netvořila HTML značky, uděláš to jak? Tak. A to proveď se zprávou. |
||
blaaablaaa Profil |
#3 · Zasláno: 12. 4. 2010, 14:46:21
Popr. se koukni sem, kde jsem neco podobneho resil.
|
||
loulie Profil |
#4 · Zasláno: 12. 4. 2010, 15:13:13
Všem děkuji, juknu na to :-)
|
||
Pajionc Profil * |
#5 · Zasláno: 12. 4. 2010, 15:25:43
Možná by to šlo tak že by se na začátek správy přidalo <pre> a na konec </pre> ale dalo by se to hacknout tak že by se na začátek správy napsalo </pre>
|
||
Chamurappi Profil |
#6 · Zasláno: 12. 4. 2010, 15:42:54
Reaguji na Pajionce:
Nešlo, element <pre> mění jen zobrazení, kód v něm se interpretuje prakticky stejně jako jinde (až na mezery).
|
||
Časová prodleva: 14 let
|
0