|
Re: Problem mit GeSHi und dem großen "Ü"
Hallo
Zitat:
Das ginge ja nur mittels HTML-Tags und die werden sowieso durch htmlspecialchars() umgewandelt. Und angenommen, CSS ließe sich "ausführen", was sollte daran so gefährlich sein (vorausgesetzt, HTML kann nicht "ausgeführt" werden)? Grüße |
Re: Problem mit GeSHi und dem großen "Ü"
GeSHi bietet die Möglichkeit die Styles, mit denen Dinge hervorgehoben werden, zu verändern. Also diese ganzen set_*_style-Methoden. Wenn der Anwender die Möglichkeit hat, diesen eigene Inhalte zu übergeben, so kann er dort beliebige Dinge mit tun; im Falle einer DB als Datenquelle also auch ein derart präparierten Source speichern, der dann von anderen Anwendern aufgerufen wird.
Vermieden werden kann dies, indem man bevor man benutzerdefiniertes CSS an GESHi übergibt, dieses bereits entsprechend filtert. Beispiel:
Code:
Wobei halt '\'><SCRIPT>alert("xss");</SCRIPT>' ein vom Benutzer frei wählbarer String ist.
$G->set_strings_style('\'><SCRIPT>alert("xss");</SCRIPT><br lang=\'', false);
|
Re: Problem mit GeSHi und dem großen "Ü"
Hi,
ach da smeinst du. Ich lasse den Benutzer ganz sicher keine eigenen Styles definieren sondern nutze die Attribute, die in den Sprachdateien definiert sind. Also alles in Ordnung. :) Grüße |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:53 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz