Autor | Zpráva | ||
---|---|---|---|
Mastodont Profil |
#1 · Zasláno: 22. 1. 2008, 21:25:12
Někdy v září jsem se tu ptal na vaše zkušenosti s HTML Purifier, a kupodivu žádná odpověď ..
Co tedy používáte proti XSS? Mám na mysli situace, kdy chci uživateli povolit vkládat HTML do komentářů apod. |
||
Jan Tvrdík Profil |
#2 · Zasláno: 22. 1. 2008, 23:04:21
Mastodont
Záleží, jak moc toho HTML chceš povolit. Jestli stačí bold a italic, nebo jestli chceš povolit i divy, css... |
||
Mastodont Profil |
#3 · Zasláno: 22. 1. 2008, 23:16:52
Ano, to je důležitý faktor. Dejme tomu, že jde obecně o HTML. Pro psaní je k dispozici nějaké urychlovátko typu Textile a výsledný obsah je uložen jako HTML. Což samozřejmě přímo láká k tomu, aby se do textu vložil nějaký skriptík.
Osobně se mi líbí právě ten Purifier, co jsem ho zkoušel, tak se mi jeví jako hodně dobrý. Ale samozřejmě bych rád znal názory dalších ... |
||
Leo Profil |
#4 · Zasláno: 23. 1. 2008, 08:52:17
"Dejme tomu, že jde obecně o HTML. Pro psaní je k dispozici nějaké urychlovátko typu Textile a výsledný obsah je uložen jako HTML. Což samozřejmě přímo láká k tomu, aby se do textu vložil nějaký skriptík."
Nevim, jak presne pracuje Textile, ale pokud vim pouziva nejake pseudoznacky. Postup je obvykle ten, ze se jakekoliv tagy zrusi pres strip_tags(), a pak se pres regularni vyrazy nahrazuji pseudoznacky, treba *neco* na <b>neco</b>. Leo |
||
Mastodont Profil |
#5 · Zasláno: 23. 1. 2008, 09:30:34
Postup je obvykle ten, ze se jakekoliv tagy zrusi pres strip_tags(), a pak se pres regularni vyrazy nahrazuji pseudoznacky
No nevím, ale třeba Texy umožňuje psát přímo HTML. Markdown to samé, Wikitext taky. Sice třeba ne všechy tagy, ale něco povoleno je. |
||
Leo Profil |
#6 · Zasláno: 23. 1. 2008, 12:58:36
"No nevím, ale třeba Texy umožňuje psát přímo HTML. Markdown to samé, Wikitext taky. Sice třeba ne všechy tagy, ale něco povoleno je."
strip_tags umoznuje nektere tagy povolit. Otazka je, jestli tvurci daneho systemu vedi, co delaji, zvlast u odkazu... Leo |
||
Timy Profil |
#7 · Zasláno: 23. 1. 2008, 13:00:09
Texy! mívá obvykle zapnutou podporu HTML tagů jen třeba v administraci, když píšete články – někde, kde se očekává vstup od uživatele, to povolené nebývá.
|
||
Časová prodleva: 16 let
|
0