"rasmus carlsen" <rasmus_punktum_carlsen@tdcadsl.dk> writes:
> Sker der noget ved at smide html-koder direkte i et tekst-input-felt (der
> efter lidt behandling bliver spyttet ud på en www)?
Der er ikke nogen tekniske problemer i at skrive "<" eller ">" i et
input-felt.
Der er sandsynligvis et sikkerhedsmæssigt problem i at lade brugere
skrive tilfældigt HTML som senere bliver en del af en af dine sider.
Ondskabsfulde brugere kunne finde på at tilføje fx "</body>",
"<div style='background:red'>" eller "<script type='text/javascript'>
window.location='
".'>http://mysexsite.example.com/'".
Hvis der er sikkerhedshuller der baserer sig på udførslen af
javascript, så kan den javascript puttes ind i din side.
Det er *meget* svært at gardere sig mod opfindsomme idioter hvis
man tillader dem at styre hvad de skriver. Så bliver det din opgave
at finde ud af hvad der er godt og hvad der er skidt, altså at
black-liste problemerne. Det er fast arbejde at holde det ved lige.
Det er meget nemmere hvis man selv bestemmer hvad der er muligt,
som fx BBCode gør. Så er man sikker på hvilken HTML der bliver
skabt, og brugeren har ikke flere muligheder end man selv giver,
altså snarere en white-list af hvad man må.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
DHTML Death Colors: <URL:
http://www.infimum.dk/HTML/rasterTriangleDOM.html>
'Faith without judgement merely degrades the spirit divine.'