|
| |
|
|
| |
для: Eugene77
(19.12.2007 в 17:08)
| | | expressions - js в css, представьте что можно натворить с js, Практически все это делается и через expressions | |
| |
|
|
| |
|
|
| |
для: SnooPI
(18.12.2007 в 19:36)
| | | ><frame
><iframe
Принимаю на ура.
>А вообщето тебе надо запретить использовать style="" т.к. и с помощью css можно сделать xss :)
А с этим что-то не совсем ясно.
Хотелось бы чуть понятнее.
Может просто expressions запретить?
Поясните, пожалуйста, или ссылочку. | |
| |
|
|
| |
|
|
| |
для: Eugene77
(17.12.2007 в 17:55)
| | | Expressions в CSS. | |
| |
|
|
| |
|
|
| |
для: Eugene77
(18.12.2007 в 19:09)
| | | >> embed, object, applet
Запрещайте всё, что не разрешено. А разрешайте самое основное (одной table можно весь дизайн испортить)...
И вообще без атрибутов теги пусть пишут, мало ли придумают чего. | |
| |
|
|
| |
|
|
| |
для: Eugene77
(18.12.2007 в 19:09)
| | | <frame
<iframe
А вообщето тебе надо запретить использовать style="" т.к. и с помощью css можно сделать xss :) | |
| |
|
|
| |
|
|
| |
для: Eugene77
(17.12.2007 в 17:55)
| | | Ага, не много информации, зато сам припомнил:
<embed
<object
<applet
тоже нельзя допускать
Кто ещё что помнит?
"/on.+=/i" - уже упомянуто | |
| |
|
|
| |
|
|
| |
для: Саня
(18.12.2007 в 10:00)
| | | Обратите внимание на его второй паттерн. | |
| |
|
|
| |
|
|
| |
для: Eugene77
(17.12.2007 в 17:55)
| | | > Что ещё?
События onclick, onmouseover, ... | |
| |
|
|
| |
|
|
| |
для: vitroot
(18.12.2007 в 08:31)
| | | Помогут в чём? Обрабатывать псевдотеги или "оставить пользвателю право вводить в форму общепринятые html теги" ? | |
| |
|
|
| |
|
|
| |
для: Eugene77
(17.12.2007 в 17:55)
| | | думаю, регулярные выражения помогут | |
| |
|
|
|
