| |
|
|
| | Если разрешить клиенту сайта самому вводить HTML данные, может ли это как-то повлиять на безопасность сайта? | |
| |
|
|
| |
|
|
| |
для: serenya1983
(03.03.2010 в 18:10)
| | | Нет, если пропускать такой текст через htmlspecialchаrs() при выводе его на страницу. Это вообще всегда нужно делать (кроме своего кода конечно). | |
| |
|
|
| |
|
|
| |
для: sim5
(03.03.2010 в 19:08)
| | | а если нужно что бы то, что сделал клиентвывести на страницу, т.е. если разрешить ему самому делать как будет выглядить страница.
если пропускать через htmlspecialchаrs то на страницу не будет выведено то, что он сделал!
Если проверять наличик строк, типа JS, JAVASCRIPT, VB, VBasic, language и удалять их. а всё остальное оставлять.
Как это с точки безопасности? | |
| |
|
|
| |
|
|
| |
для: serenya1983
(03.03.2010 в 20:07)
| | | Если пользователь за вас будет писать HTML код, то от этого ничего хорошего не получится. Не стоит долго говорить почему....
Но вы можете позволить пользователю выбирать фон страницы (цвет, изображение), либо некоторых элементов и прочее, и на основе этих желаний выдавать html-код соответсвующий его желаниям. Например, как это делает Гугл, предоставляя шаблоны, или оформление блогов на mail.ru и т.п.. | |
| |
|
|
| |
|
|
| |
для: serenya1983
(03.03.2010 в 18:10)
| | | Никак, тег не закроет и испортит весь дизайн | |
| |
|
|
