Проблема такая- у меня стоит CKEDITOR в форме для комментариев, при добавлении комментариев он автоматически генерирует необходимые теги, поэтому использование htmlspecialchars() неприемлимо. Но если отключить javascript, то в редакторе можно вводить любые теги, как быть?
Спустя 1 час, 21 минута, 42 секунды (4.01.2010 - 10:53) vagrand написал(а):
Если ты на серверной стороне не проверяеш на наличие тегов, то без разницы какой у тебя редактор на стороне клиента, ибо очень просто можно вобход него послать данные.
Спустя 23 минуты, 43 секунды (4.01.2010 - 11:17) soniclord написал(а):
спасибо, буду дальше капать
Спустя 1 час, 45 минут, 7 секунд (4.01.2010 - 13:02) soniclord написал(а):
как же мне тогда обработать, если редактор будет включен и когда он выключен? он же сам экранирует символы... а если я пройдусь еще функциями, то будет... плохо
Спустя 9 минут, 33 секунды (4.01.2010 - 13:12) ApuktaChehov написал(а):
Если со стороны клиента должны приходить теги, которые будут вставлены в страницу, то, думаю, единственный вариант, это ограничить кол-во этих тегов. т.е разрешить только, те, которые должны приходить.
В качестве защиты можно придумать только защиту от дурака, так как если захотят навредить, навредят.
В качестве защиты можно придумать только защиту от дурака, так как если захотят навредить, навредят.
Спустя 1 час, 2 минуты, 57 секунд (4.01.2010 - 14:15) VolCh написал(а):
Вариант "для галочки" - strip_tags (но он не отсекает атрибуты), а так свою валидацию надо писать, чтоб опасные теги и атрибуты не проходили, а форматирование редактора проходило
Как вариант - настроить редактор на работу с bbcode (или другой язык разметки), вырезать html, а потом транслировать bbcode в html.
Как вариант - настроить редактор на работу с bbcode (или другой язык разметки), вырезать html, а потом транслировать bbcode в html.
Спустя 21 минута, 20 секунд (4.01.2010 - 14:36) glock18 написал(а):
soniclord
нужна обычная защиты от xss. каждый браузер имеет свои дыры, и если не фильтровать основательно приходящий html, получишь вредный жабоскрипт. погугли по этому вопросу, я когда-то на форуме yii видел один вариант решения. одно Но - ни одно решение не будет идеальным. в ie6 есть например несколько очень веселых багов, облегчающих взлом.
нужна обычная защиты от xss. каждый браузер имеет свои дыры, и если не фильтровать основательно приходящий html, получишь вредный жабоскрипт. погугли по этому вопросу, я когда-то на форуме yii видел один вариант решения. одно Но - ни одно решение не будет идеальным. в ie6 есть например несколько очень веселых багов, облегчающих взлом.
Спустя 18 часов, 18 минут, 20 секунд (5.01.2010 - 08:54) soniclord написал(а):
грустно...Спасибо что посоветовали :-)