| Autor | Zpráva | ||
|---|---|---|---|
| v6ak Profil |
#1 · Zasláno: 27. 9. 2007, 09:40:24
Je nějak možné udělat samostatnou stránku, která by měla HTML, které by nebylo interpretováno v kontextu mé domény? (kvůli XSS) Možná by šlo použít data:..., ale to neumí IE.
|
||
| Zerog Profil |
#2 · Zasláno: 27. 9. 2007, 10:11:03
Myslim ze otazce nikdo nerozumi ... nejak to rozepis ...
|
||
| v6ak Profil |
#3 · Zasláno: 27. 9. 2007, 17:14:54
Chci udelat upload souboru a nechci, aby nekdo mohl udelat napriklad XSS. (Jelikoz to bude delano pres DB, nemusim se bat *.php, .htaccess apod.) Pokud bude MIME typ ve whitelistu, tak neposlu hlavicku content-disposition:attachment; filename=..., takze misto nabidky ke stazeni se soubor (pokud to prohlizec dovoli, treba i pres plugin) primo zobrazi.
Toto bych chtel umoznit i u HTML, ale bojim se XSS, protoze takove html (predevsim skripty v nem) by se vykonavalo v kontextu me domeny. Mozna by to slo obejit pres pseudoprotokol data, ale to zcela urcite neumi M$ IE. :-( |
||
|
Časová prodleva: 17 let
|
|||
0