Sziasztok!
A kerdesem az lenne, hogy ha a felhasznalo definialhatja a CSS-t egy oldalon (opcionalisan masnak is), azzal valami trukkos modon tud-e JS-t is futtatni?
Gondolok itt olyanra, mint amikor forum hozzaszolasban tiltanak bizonyos tag-eket (vagy BBCode-dal csinaljak teljesen maskepp), hogy mondjuk img tag fole vitt egerrel ne lehessen XSS-es tamadast csinalni.
Van valami hasonlo problema CSS-el, es ha igen, akkor mit kell szurni hozza, hogy biztonsagos legyen?
Koszi.
Nyos
- 993 megtekintés
Hozzászólások
Hogyan illeszted a html forrásba a css-t? Meg egyáltalán minek kell felhasználónak css-t írnia?
Ha csak simán <style type="text/css" media="all">...</style> közé teszed a css-t, akkor css-en belül is le tudja majd zárni a css taget és tud nyitni egy javascript taget. De el tudom képzelni, hogy exploreren van olyan feature, hogy css is tartalmazhat javascriptet.
Azt sem igazán értem, hogy ez miért nem jutott eszedbe:
body {
content: "<script type=...>"
}
és még húsz másik olyat tudok, ami miatt nem szabad CSS-t engedni.
- A hozzászóláshoz be kell jelentkezni
A combinatorokat leszámítva css-hez nem lesz szükség a <> jelekre, így ez a probléma megoldható lehet :)
- A hozzászóláshoz be kell jelentkezni
Kicsit pontositok, igy:
< link href="akarmi" rel="stylesheet" type="text/css" / >
Szoval a < es > nem jatszik, a html-be nem kerul be..
A felhasznalonak nem kell css-t irnia. De nehany oldalon lehet ilyet csinalni, ezert erdekelt, hogy biztonsagos-e, es ha ilyen feladattal kerulnek szembe en is, hogy lehet megoldani, hogy ne legyen belole gond.
Most kerdezhetned azt is, hogy egyaltalan miert modosithassa egy felhasznalo egy oldal tartalmat, de tekintve, hogy ez pl. egy webes forum, es itt is valami ilyesmi tortenik, a letjogosultsaga elegge nyilvanvalo. Raadasul egy forumkomment kozvetlenul a HTML oldalba epul be, nem egy kulso file-ba, megis megoldhato, hogy biztonsagos legyen (megfelelo szuressel persze).
Ja, es erdekel meg a 20 masik is, epp ez a kerdes lenyege :).
--
I can't believe Steve Jobs's liver is replaceable but the battery in my iPhone is not. - sickipedia
- A hozzászóláshoz be kell jelentkezni
Ha külső forrásból lehet berakni bármit is, már az is gáz lehet.
img src -jeként külső elem megadása pl. Onnéttól már csak a brozerben bízhatsz.
'lekene sslje'
- A hozzászóláshoz be kell jelentkezni