Archivlink: javarea.de Forum > JavaScript > "src"-Bereich einschränken
Vollständigen Link anzeigen: javarea.de Forum > JavaScript > "src"-Bereich einschränken
Pages: [1]
| geschrieben von zippy am 16.03.2006 - 21:13 |
Über ein Formular können BesucherInnen auch html-code eingeben.
Wie kann ich sicherstellen, dass nicht in irgendeinem tag eine src angegeben wird, die außerhalb eines bestimmten Ordners bzw. der Homepage liegt?
Prinzipiell passt die Frage genauso zum PHP-Teil. In PHP könnt ich vermeiden, dass src mit http://usw... angegeben werden, und in der Seite, in der der Code angezeigt wird, könnte ichs mit javascript unterbinden.
Wenn ich jedes "http://" rauslösche, können die Leutz auch keine Links mehr schreiben.
Ist dir src von tags überhaupt ein Objekt im DOM? |
| geschrieben von Matneu am 16.03.2006 - 21:20 |
| Zitat | | | Original geschrieben von zippy am 16.03.2006 - 21:13
Prinzipiell passt die Frage genauso zum PHP-Teil. In PHP könnt ich vermeiden, dass src mit http://usw... angegeben werden, und in der Seite, in der der Code angezeigt wird, könnte ichs mit javascript unterbinden. |
Und genau da zeigt sich eine Schwäche respektive Stärke von Javascript: Es lässt sich deaktivieren und der Server kann (zum Glück) nichts dagegen unternehmen.
Fazit: Es geht nicht ohne PHP, zumindest nicht halbwegs sicher.
| Zitat | | | Wenn ich jedes "http://" rauslösche, können die Leutz auch keine Links mehr schreiben. |
Doch können sie, allerdings nur relative, also solche, die auf den Server bleiben.
Wenn Du nur "vertrauenswürdige" Schreiber hast kannst Du das getrost so machen. Wenn allerdings JEDER Links auf Deiner Seite schreiben kann musst Du schon ziemlich aufpassen, dass man die Abfrage nicht umgehen kann (und da gibt es viele Möglichkeiten).
| Zitat | | | Ist dir src von tags überhaupt ein Objekt im DOM? |
Suche ja schon lange nach einem Tool, dass mir den aktuellen/kompletten DOM-Tree halbwegs übersichtlich anzeigt. "src" ist aber mit Sicherheit ein Attribut jedes a-Elementes.
So far...
Matthias |
| geschrieben von René am 17.03.2006 - 11:04 |
|
| geschrieben von Matneu am 17.03.2006 - 13:22 |
| Zitat | | | Original geschrieben von René am 17.03.2006 - 11:04
| Zitat | | | "src" ist aber mit Sicherheit ein Attribut jedes a-Elementes. |
Meines erachtens nicht, eher gehöhrt es zu <img src="" />. |
Grummel, hast natürlich recht. Beim a-Element heisst es natürlich "href". Macht aber prinzipiell das, was Zippy wollte.
So far...
Matthias |
| geschrieben von zippy am 17.03.2006 - 16:42 |
Danke schön.
Mir gings darum, dass Leutz, die html posten dürfen, keine fremden Scripte und dergleichen einbinden. Links sollen natürlich erlaubt bleiben. Die kann ich recht leicht um ein target="_blank" erweitern.
Sicherheitsstufe 1 ist sozusagen, dass die Leute am Server nicht aus ihrem Ordner rauskommen. Stufe zwei, dass sie die Privaten Seiten anderer UserInnen nicht zerreißen.
Ne ganz andere Frage, für die ich keine Rubrik gefunden habe: Der Opera-Browser speichert stets meine Passwörter. Kann man den Wand (=Passwortmanager) irgendwie ausschalten? Ich muss jedes mal "Spuren löschen", und wenn ich drei Operas aufmache, weil ich mich (zum Test meiner UserInnenverwaltung) als drei UserInnen anmelde, dreht er völlig durch. Meldet mich immer automatisch an.
Hab schon x-mal auf "Wand nicht verwenden" geklixt, aber es ist wie verhext...
Er speichert automatisch alle Passwörter, ohne zu fragen, und dann muss ich sie extra rauslöschen. |
|