/ Forside / Teknologi / Udvikling / HTML / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
HTML
#NavnPoint
molokyle 11184
Klaudi 5506
bentjuul 3377
severino 2040
smorch 1950
strarup 1525
natmaden 1396
scootergr.. 1320
e.c 1150
10  miritdk 1110
html i et tekst-input-felt
Fra : rasmus carlsen


Dato : 10-07-06 10:36

Hejsa,

Sker der noget ved at smide html-koder direkte i et tekst-input-felt (der
efter lidt behandling bliver spyttet ud på en www)?

ras



 
 
Kim Ludvigsen (10-07-2006)
Kommentar
Fra : Kim Ludvigsen


Dato : 10-07-06 11:23

Den 10-07-06 11.35 skrev rasmus carlsen følgende:

> Sker der noget ved at smide html-koder direkte i et tekst-input-felt (der
> efter lidt behandling bliver spyttet ud på en www)?

Det afhænger helt af, hvad behandlingen gør ved indholdet i feltet.
Nogle bruger koderne, så man fx kan gøre en tekst fed ved at indsætte
<b> og </b>. Andre viser blot koderne, som de er skrevet i teksten.

--
Mvh. Kim Ludvigsen
Brug computeren som båndoptager, og optag direkte i mp3-formatet med det
gratis program Mp3DirectCut.
http://kimludvigsen.dk

Lasse Reichstein Nie~ (10-07-2006)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 10-07-06 13:03

"rasmus carlsen" <rasmus_punktum_carlsen@tdcadsl.dk> writes:

> Sker der noget ved at smide html-koder direkte i et tekst-input-felt (der
> efter lidt behandling bliver spyttet ud på en www)?

Der er ikke nogen tekniske problemer i at skrive "<" eller ">" i et
input-felt.

Der er sandsynligvis et sikkerhedsmæssigt problem i at lade brugere
skrive tilfældigt HTML som senere bliver en del af en af dine sider.
Ondskabsfulde brugere kunne finde på at tilføje fx "</body>",
"<div style='background:red'>" eller "<script type='text/javascript'>
window.location='".'>http://mysexsite.example.com/'".

Hvis der er sikkerhedshuller der baserer sig på udførslen af
javascript, så kan den javascript puttes ind i din side.

Det er *meget* svært at gardere sig mod opfindsomme idioter hvis
man tillader dem at styre hvad de skriver. Så bliver det din opgave
at finde ud af hvad der er godt og hvad der er skidt, altså at
black-liste problemerne. Det er fast arbejde at holde det ved lige.

Det er meget nemmere hvis man selv bestemmer hvad der er muligt,
som fx BBCode gør. Så er man sikker på hvilken HTML der bliver
skabt, og brugeren har ikke flere muligheder end man selv giver,
altså snarere en white-list af hvad man må.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
DHTML Death Colors: <URL:http://www.infimum.dk/HTML/rasterTriangleDOM.html>
'Faith without judgement merely degrades the spirit divine.'

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste