Autor Zpráva
v6ak
Profil
Je nějak možné udělat samostatnou stránku, která by měla HTML, které by nebylo interpretováno v kontextu mé domény? (kvůli XSS) Možná by šlo použít data:..., ale to neumí IE.
Zerog
Profil
Myslim ze otazce nikdo nerozumi ... nejak to rozepis ...
v6ak
Profil
Chci udelat upload souboru a nechci, aby nekdo mohl udelat napriklad XSS. (Jelikoz to bude delano pres DB, nemusim se bat *.php, .htaccess apod.) Pokud bude MIME typ ve whitelistu, tak neposlu hlavicku content-disposition:attachment; filename=..., takze misto nabidky ke stazeni se soubor (pokud to prohlizec dovoli, treba i pres plugin) primo zobrazi.
Toto bych chtel umoznit i u HTML, ale bojim se XSS, protoze takove html (predevsim skripty v nem) by se vykonavalo v kontextu me domeny. Mozna by to slo obejit pres pseudoprotokol data, ale to zcela urcite neumi M$ IE. :-(

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: