Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Защита от onload
Форумы портала PHP.SU » » Вопросы новичков » Защита от onload

Страниц (1): [1]
 

1. RickMan - 27 Июля, 2014 - 23:48:55 - перейти к сообщению
Здравствуйте.
Есть некая форма для отправки сообщений/ Разрешены теги <i>, <u>, <b> ну и <img>. Все эти теги важны для формы и отказаться от них не можем. При выводе стоит strip_tags с списком разрешенных тегов. Все как положено. НО обойти эту защиту можно просто вписал js код в onload картинки (к примеру). Как от такго защититься? Как запретить onload и все взможные лазейки для xss? Обращался к гуглу не раз и так и не нашел вразумительного ответа.
Заранее спасибо.
2. Ch_chov - 28 Июля, 2014 - 06:47:18 - перейти к сообщению
RickMan пишет:
Как запретить onload и все взможные лазейки для xss?

Логично предположить, что нужно просто удалить onload аттрибут. Один из вариантов реализации.
Если нужно больше настроек, то htmlpurifier[dot]org/
(Добавление)
Ну или BB-code использоват.
3. Viper - 28 Июля, 2014 - 08:02:26 - перейти к сообщению
Ch_chov соглашусь в пользу htmlpurifier.

 

Powered by ExBB FM 1.0 RC1