|
|
|
| Здравствуйте.
Появилась у меня такая задача: нужно организовать на сервер загрузку пользовательских HTML файлов для всеобщего обозрения. Подскажите пожалуйста, какими неприятностями это грозит и как можно эти неприятности хотябы минимизировать. Технический вопрос малоинтересен, так как уже есть готовое решение. Что нужно отфильтровать в этих файлах, кроме JS, чтобы доставить жуликам побольше проблем?
Спасибо. | |
|
|
|
|
|
|
|
для: Николай2357
(14.08.2008 в 11:59)
| | следует обратить внимание на фреймы и рисунки: отсекать все фреймы и проверять (по возможности), действительно тег img ссылается на рисунок
также, неплохо было бы, проверять на события, которые отлавливаются через запись в теге, например:
<div onmouseover="alert(1);">text</div>
|
| |
|
|
|
|
|
|
|
для: Николай2357
(14.08.2008 в 11:59)
| | Был какой-то гениальный класс, который чистил HTML от всех возможных JS и XSS, но название - хоть убей, не помню :( Попоробовал найти в гугле - безрезультатно... | |
|
|
|
|
|
|
|
для: DDK
(14.08.2008 в 14:01)
| | tidy? :) | |
|
|
|
|
|
|
|
для: Axxil
(14.08.2008 в 14:14)
| | Точно! | |
|
|
|
|
|
|
|
для: DDK
(14.08.2008 в 14:27)
| | Огромное всем спасибо, пошел штудировать! | |
|
|
|