информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsПортрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Очередное исследование 19 миллиардов... 
 Оптимизация ввода-вывода как инструмент... 
 Зловреды выбирают Lisp и Delphi 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / web building
Имя Пароль
если вы видите этот текст, отключите в настройках форума использование JavaScript
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
можно 04.08.03 14:05  Число просмотров: 1757
Автор: Eugene Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Предположим тебе надо фильтровать наличие тега <script> в теле документа.

есть часть документа (в средине твоей страницы), который может вставить юзер. предположим ты хочешь филтровать все теги "скрипт"

--------
text1
<script smth>

<script SMTH> smth </script>
text2
--------

Используем, например, следующие regexp
$data =~ s/<script()>(.*)<\/script(.>//gi;
$data =~ s/<script(.*)>//gi;

(где $data - содержимое документа)
результат - из теста документа получаем что-то типа
--------
text1



text2
--------

На счет <noscript>
Опять, предположим есть документ

<-------->
<noscript>
--------
text1

USER DATA

text2
--------
</noscript>
<-------->
можно предположить, что тег noscript запретит выполнение js/vbs в разделе user data. однако - если юзер в начале uesr data закроет этот же noscript - он сможет без проблем открыть <script> после него. таким образом - логичней применять regexp и не морочить голову. хотя - далеко не факт что это панацея. далеко не факт.


http://www.ln.ua/~openxs/articles/perlre.html
<web building>
каверзный вопрос по хтмл 05.07.03 07:20  
Автор: hex.sex <Computer-Hitler> Статус: Elderman
<"чистая" ссылка>
можно ли внутри <head></head>
запретить выполнение <scripy></script>
в <body></body>
Может это то, что ты ищешь 31.07.03 22:28  
Автор: DgtlScrm Статус: Member
Отредактировано 31.07.03 22:29  Количество правок: 1
<"чистая" ссылка>
> можно ли внутри <head></head>
> запретить выполнение <scripy></script>
> в <body></body>

Если тебе надо запретить выполнение скрипта в нутри body:

<html>
  <head>
    <noscript> <!-- This tag disable script executing -->
  </head>

  <body>
      <script>
           alert('Scripty executed succerfull =)');
      </script>
  </body>
</html>

---

Но если внутренность body формируется пользователем, то он может вписать тэг "</noscript>" и после него смело использовать скрипты. Хотя нисто не отменял фильтры/регулярные выражения =)

(надеюсь меня не оштрафуют за помочь человеку)

DigitalScream resident 'SecurityLevel5'
юзер может закрыть открытый noscript. но, безусловно, regexp - [иногда] это выход 31.07.03 23:22  
Автор: Eugene Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А поподробнее и в картинках можно? 04.08.03 11:15  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
можно 04.08.03 14:05  
Автор: Eugene Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Предположим тебе надо фильтровать наличие тега <script> в теле документа.

есть часть документа (в средине твоей страницы), который может вставить юзер. предположим ты хочешь филтровать все теги "скрипт"

--------
text1
<script smth>

<script SMTH> smth </script>
text2
--------

Используем, например, следующие regexp
$data =~ s/<script()>(.*)<\/script(.>//gi;
$data =~ s/<script(.*)>//gi;

(где $data - содержимое документа)
результат - из теста документа получаем что-то типа
--------
text1



text2
--------

На счет <noscript>
Опять, предположим есть документ

<-------->
<noscript>
--------
text1

USER DATA

text2
--------
</noscript>
<-------->
можно предположить, что тег noscript запретит выполнение js/vbs в разделе user data. однако - если юзер в начале uesr data закроет этот же noscript - он сможет без проблем открыть <script> после него. таким образом - логичней применять regexp и не морочить голову. хотя - далеко не факт что это панацея. далеко не факт.


http://www.ln.ua/~openxs/articles/perlre.html
сенкс, попробую заюзать 31.07.03 23:21  
Автор: hex.sex <Computer-Hitler> Статус: Elderman
<"чистая" ссылка>
там дело в том, что этотгостевуха, админами которой мы не являемся
и хочется разрешить хтмл, но избежзать жаба скриптовых приколов от идиотов типа шкипера
сенкс, попробую заюзать 04.08.03 12:26  
Автор: Night Angel Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> там дело в том, что этотгостевуха, админами которой мы не
> являемся
> и хочется разрешить хтмл, но избежзать жаба скриптовых
> приколов от идиотов типа шкипера
Если это на ПХП пишется, то есть такая функция, которой 1 парам - строка, 2 - разрешённые тэги, остальные она по-моему вырезает. striphtml вроде
Будь осторожен 01.08.03 09:26  
Автор: DgtlScrm Статус: Member
<"чистая" ссылка>
Будь осторожен. Враги не дремлют =)
Есть сотни способов исполнить JavaScript и я не уверен, что на все из них подействует этот метод. Тем более не стоит забывать о фильтрации IFRAME и тому подобных тэгов.

DigitalScream resident 'SecurityLevel5'
а цель ? 05.07.03 12:07   [hex.sex, Sandy, tdes, Shturmfogell, J'JF, DamNet, whiletrue, iokana, fly4life]
Автор: tdes <jin> Статус: Member
<"чистая" ссылка>
интересно, за что штрафы, мне было интересно узнать какова цель, возможно это можно сделать другими спосбами ? без блокировки скриптов 05.07.03 21:22  
Автор: tdes <jin> Статус: Member
<"чистая" ссылка>
нет 05.07.03 11:39  
Автор: BioHazard <bio> Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach