Makary155 Opublikowano 2 Stycznia 2011 Udostępnij Opublikowano 2 Stycznia 2011 Chciałbym udostępnić użytkownikom możliwość edytowania profilu nie przez bbcode a przez tagi html, jednak stwarza to jednak niebezpieczeństwo ataku XSS. Da się jakoś zabezpieczyć przed atakiem a jednocześnie dać możliwość używania tagów (XSS -Cross Site Scripting, dołączanie do strony obcych skryptów) ? Jedyne co mi przychodzi do głowy to usunięcie z pola wszystkich słów "script". Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Kofel Opublikowano 2 Stycznia 2011 Udostępnij Opublikowano 2 Stycznia 2011 Usunięcie JS to nie wszystko ;) Ogólnie to wystarczyło by chyba jeszcze usunąć atrybuty style i class z każdego tagu. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Makary155 Opublikowano 2 Stycznia 2011 Autor Udostępnij Opublikowano 2 Stycznia 2011 A w jakim celu mam usuwać atrybut style? Przez style też można shakować strone? Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Tymon Opublikowano 2 Stycznia 2011 Udostępnij Opublikowano 2 Stycznia 2011 Przez dużo rzeczy można to zrobić. Generalnie to polecam zrobić listę dozwolonych tagów i ich atrybutów - te z kolei dodatkowo poddawać filtracji. To wszystko. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Kofel Opublikowano 2 Stycznia 2011 Udostępnij Opublikowano 2 Stycznia 2011 A w jakim celu mam usuwać atrybut style? Przez style też można shakować strone? Przez XSS nie "shackujesz" niczego. Ew. możesz zmylić użytkownika końcowego. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się