XSS bei Eingabeformaten
Eingetragen von KeepOn (34)am 03.03.2009 - 22:11 Uhr in
Hallo,
eine Frage. Ich moechte ein eigenes Eingabeformat erlauben. Das Eingabeformat erlaubt eine vollständige htl Formatierung.
Nun meine Frage, kann man damit nicht sehr einfach ein einbauen. Oder ein oder ein . ?
Also Cross Site Scripting? Was kann man dagegen tun, um trotzdem alles erlauben zu können? Oder erkennt Drupal das intern?
Vielen Dank!
mfg,
KeepOn
- Anmelden oder Registrieren um Kommentare zu schreiben
weiß niemand weiter?
am 04.03.2009 - 10:39 Uhr
wäre wichtig!
Danke
mfg,
KeepOn
hmmm.. also bei deiner frage
am 04.03.2009 - 11:02 Uhr
hmmm..
also bei deiner frage hats irgendwas verschluckt...
wenn du code-schnipsel zeigen willst, dann solltest du sie in die spezielle code "container" stecken (direkt über dem eingabefeld "Code")
soviel dazu.
dein probelm ist (glaube ich) sehr leicht lösbar.
unter
verwalten > Eingabeformate
kannst du ein neues eingabeformat anlegen. wenn du es dann konfigurierst, kannst du bestimmen, welche html tags zulässig sind.
dann noch die rollen verteilen bzw. bei den anderen rollen entfernen, dann sollte das gehn...
hilft dir das?
grüße
-------------------------------------------------
arguing on the internet is like competing in the special olympics
- even if you win, you are still retarded.
-------------------------------------------------
arguing on the internet is like competing in the special olympics
- even if you win, you are still retarded.
Vergebe die vollständige
am 04.03.2009 - 11:07 Uhr
Vergebe die vollständige HTML-Formatierung nur an Personen, die du vertraust. Ansonsten lieber mehr HTML-Tags freigeben, die für die Formatierung benötigt werden.
Du kannst nicht gleichzeitig die Tür öffnen ohne das jemand versucht herein zukommen.
----------------------------------------
http://tobiasbaehr.de/
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Danke für die
am 05.03.2009 - 09:06 Uhr
Danke für die Antworten!
@spartacus, das ist wohl wahr. Werde einfach die html tags einzeln freigeben.
Jedoch was ist mit
<a href="javascript: ..."></a> oder mit <img src="bild mit ausführbarem code"><scrip></script> kann ich ja unterbinden aber beim a Tag zB. ?? Oder wird das in Drupal geprüft? (mit regex o.ä.? )
Vielen Dank!
mfg,
KeepOn
Sowas wird geprüft, jedoch
am 05.03.2009 - 10:16 Uhr
Sowas wird geprüft, jedoch gibt es niemals ne 100% Sicherheit.
----------------------------------------
http://tobiasbaehr.de/
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.