|
| |
|
|
| |
для: cheops
(17.08.2006 в 22:25)
| | | >Тогда отсекаются URL вида http://www.site.ru/dec/javascript/index.php.
тогда проверяйте - наличие
1. http://
2. www.
если нет то на первые символы
javascript и тому подобная хрень... | |
| |
|
|
| |
|
|
| |
для: cheops
(17.08.2006 в 22:25)
| | | a javascript для запуска сценария должно в начале писаться | |
| |
|
|
| |
|
|
| |
для: Lelik
(17.08.2006 в 19:25)
| | | Тогда отсекаются URL вида http://www.site.ru/dec/javascript/index.php. | |
| |
|
|
| |
|
|
| |
для: Lelik
(17.08.2006 в 15:00)
| | | я вот чего додумал, в проверку включить кроме substr($img, "jpg", -3), substr($img, "javascript" !== false), и т.д. | |
| |
|
|
| |
|
|
| |
для: Loki
(17.08.2006 в 15:26)
| | | да, не подумал... | |
| |
|
|
| |
|
|
| |
для: Lelik
(17.08.2006 в 15:00)
| | | lavascript:alert('превед!'); //.jpg | |
| |
|
|
| |
|
|
| |
для: Loki
(17.08.2006 в 09:17)
| | | Зачем загружать, просто когда преобразововать теги img, делать проверку на 3 последних символа, substr($img, "jpg", -3). в таком роде... | |
| |
|
|
| |
|
|
| |
для: Loki
(17.08.2006 в 09:17)
| | | Хм... можно улучшить анализатор URL, если использовать parse_url(), она значительно облегчает построение защиты... | |
| |
|
|
| |
|
|
| |
для: Join
(17.08.2006 в 04:32)
| | | С этим никто не спорит, только ломать возможно придётся не через XSS, а через что-то другое. | |
| |
|
|
| |
|
|
| |
для: Lelik
(17.08.2006 в 02:03)
| | | Для этого файл придется загрузить. Так что этот вариант отпадает. | |
| |
|
|
|
