Autor Zpráva
Nikdonic
Profil *
Ahoj, dá se neužít možnost použití těchto tagů v komentářích: "<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> "
Str4wberry
Profil
Jaké zneužití myslíte?
Nikdonic
Profil *
Například takové, že by mi pomocí toho někdo mohl třeba "hacknout" stránky, cokoli co by mohlo vést ke ztrátě nebo poškození dat.

<p class="comment-form-comment">
<label for="comment">Komentář</label>
<textarea id="comment" aria-required="true" rows="8" cols="45" name="comment"></textarea>
</p>
margin
Profil *
Klasika je XSS zranitelnost, máš "hacknuté stránky", aniž by došlo k poškození dat.
Str4wberry
Profil
Risika spojená s možností vkládat na stránku komentáře jsou zhruba následující.

1) Vložení škodlivého JavaScriptu — tomu by omezení atributů mělo zabránit.

2) Rozbití HTML kódu. Nebude-li se důsledně kontrolovat uzavření tagů a atributů, může se stránka rozbít. To je ale risiko spíš estetické. Existují hotové nástroje pro ošetření HTML kódu.

3) Narušení SQL dotazu. To není závislé na povolených HTML značkách, ale na ošetření celého řetězce, který se ukládá do databáse.

4) Asi poslední risiko je vložení odkazu (popř. obrázku), které provede nějakou změnu v administraci, když na odkaz nic netušící přihlášený administrátor klikne.
Nikdonic
Profil *
Ok dík moc to mi pomohlo

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: