Opened by olruebe01 at 2007-09-25 18:32
User since
2003-08-04
12209 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12209 Artikel
Admin1
Struppi+2007-09-26 08:54:01--na, einfach alles was zwischen <script ..> und </script> steht ausfiltern (das language Attribute ist übrigens seit 1998 mißbilligt, in einem Skript Tag muss nur das type Attribut definiert werden) und alle on... attribute rausschmeissen sollte reichen.
sicher? was ist mit <a href="javascript:foo()">
was ist mit CSS? irgendwas vergisst man immer.
wenn ich die möglichkeit hätte, würde ich sowas mit dem whitelist-prinzip machen.
also sagen, was explizit erlaubt ist. d.h. einfache <b> tags, <table> etc, aber halt
keine attribute oder nur wenige. somit kann man dieses minimale HTML prima parsen
und den rest einfach rauswerfen/escapen.
sowas hätte auch ebay machen sollen...
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem