Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Защита от onload

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
RickMan
Отправлено: 27 Июля, 2014 - 23:48:55
Post Id


Участник


Покинул форум
Сообщений всего: 1033
Дата рег-ции: Май 2012  


Помог: 30 раз(а)
Здравствуйте.
Есть некая форма для отправки сообщений/ Разрешены теги <i>, <u>, <b> ну и <img>. Все эти теги важны для формы и отказаться от них не можем. При выводе стоит strip_tags с списком разрешенных тегов. Все как положено. НО обойти эту защиту можно просто вписал js код в onload картинки (к примеру). Как от такго защититься? Как запретить onload и все взможные лазейки для xss? Обращался к гуглу не раз и так и не нашел вразумительного ответа.
Заранее спасибо.
 
 Top
Ch_chov
Отправлено: 28 Июля, 2014 - 06:47:18
Post Id



Постоянный участник


Покинул форум
Сообщений всего: 2121
Дата рег-ции: Июль 2008  
Откуда: из города


Помог: 90 раз(а)
RickMan пишет:
Как запретить onload и все взможные лазейки для xss?

Логично предположить, что нужно просто удалить onload аттрибут. Один из вариантов реализации.
Если нужно больше настроек, то htmlpurifier[dot]org/
(Добавление)
Ну или BB-code использоват.
 
 Top
Viper
Отправлено: 28 Июля, 2014 - 08:02:26
Post Id



Активный участник


Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007  
Откуда: Симферополь


Помог: 98 раз(а)
Ch_chov соглашусь в пользу htmlpurifier.


-----
Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com
Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB