2009-04-01T16:53:21 pq

[…] und ist dann vor so ziemlich allen XSS geschützt, fehlt dann nur noch das filtern bei sowas wie

Code: (dl )

<a href="$user_homepage">

wo dann kein "javascript:..." drinstehen darf.

Und onabcdef=, also Eventhandler, darf auch nicht dastehen!
Wobei es auf die Browser ankommt wie XSS eingefügt wird.
Manche Browser halten sich nämlich nicht daran, was da steht, werfen es nicht weg, sondern reparieren den Code so, dass er trotzdem als Javascript wird.
Es gibt da eine schöne XSS-Vektor-Datenbank im WWW names XSSDb. Einfach mal googeln. Oder mal nach XSS (Cross Site Scripting) Cheat Sheet sichen.
Last edited: 2009-04-10 09:03:40 +0200 (CEST)