|
| |
|
|
| |
для: tAleks
(08.01.2008 в 10:15)
| | |
<?
echo strip_tags($_GET['name']);
?>
|
| |
| |
|
|
| |
|
|
| |
для: Faraon
(08.01.2008 в 21:14)
| | | Если этот текст выводится не из БД (файла) - да, может быть, единственное.
А куки перешлются. Не аяксом, так обычным редиректом (GET).
В конце концов, можно вклинить в документ свой iframe с аналогичным дизайном (пользователь и не заметит разницы). Для васяпупкинской страницы это, может быть, и не страшно, а для интернет магазина очень даже.
(не влезет весь код в гет парамерт - можно подгрузить его как отдельный .js) | |
| |
|
|
| |
|
|
| |
для: tAleks
(08.01.2008 в 10:15)
| | | echo не опасен, опасны параметры из вне ) | |
| |
|
|
| |
|
|
| |
для: RazoR Empire
(08.01.2008 в 11:05)
| | | Причем тут echo? | |
| |
|
|
| |
|
|
| |
для: kasmanaft
(08.01.2008 в 21:03)
| | | >или ссылку оставить с "плохим" параметром. перейдет кто по ней - куки перешлются).
По большому счету это единственное что может быть.
Но куки врядли перешлются. | |
| |
|
|
| |
|
|
| |
для: Faraon
(08.01.2008 в 20:26)
| | | Какая разница? пассивная/активная... XSS ведь. Можно и похитрее придумать скрипт. (куки, например, переслать).
Конечно, если этот текст можно где-то сохранить... и показать другому человеку.
(или ссылку оставить с "плохим" параметром. перейдет кто по ней - куки перешлются). | |
| |
|
|
| |
|
|
| |
для: SnooPI
(08.01.2008 в 20:16)
| | | Пассивная XSS если че =\
Поясним? | |
| |
|
|
| |
|
|
| |
для: Faraon
(08.01.2008 в 19:50)
| | | Пассивная XSS если че =\ | |
| |
|
|
| |
|
|
| |
для: RazoR Empire
(08.01.2008 в 11:05)
| | | >script.php?name=<a onclick="alert('атака XSS успешно проведена!')">hack</a>
Чушь, в чем здесь будет атака? | |
| |
|
|
| |
|
|
| |
для: tAleks
(08.01.2008 в 10:15)
| | | echo ничем не опасен. | |
| |
|
|
|
