Показать сообщение отдельно
  #18 (permalink)  
Старый 23.10.2011, 18:09
Аватар для B@rmaley.e><e
⊞ Развернуть
Отправить личное сообщение для B@rmaley.e><e Посмотреть профиль Найти все сообщения от B@rmaley.e><e
 
Регистрация: 11.01.2010
Сообщений: 1,810

Сообщение от sommer
Вопрос если в форме ввести текст с кодом и его же отобразить с помощью innerHTML - что такое страшное туда можно ввести? Желательно пример.
Я уже ответил:
Сообщение от B@rmaley.e><e
Отображать вводимый пользователем HTML вполне безопасно. Другое дело, когда злоумышленник имеет возможность сохранить HTML код (в теле сообщения, скажем) так, что его увидят другие пользователи, либо указать такой запрос, что код будет выполнен у другого пользователя автоматически (или по некоторому действию).


Сообщение от dmitriymar
увести данные сможет любой кто введёт скрипт код в сообщение.
Угу, только ввести этот код сможет только текущий юзер.

Сообщение от dmitriymar
учитывая что он смйлики и т.д хочет -эт чтото на манер форума-так что базы неизбежны по идее
Какая связь между смайликами и базой? Смайлики организуются простой заменой ключевых слов.
Ответить с цитированием