Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #21 (permalink)  
Старый 23.10.2011, 18:02
Новичок на форуме
Отправить личное сообщение для sommer Посмотреть профиль Найти все сообщения от sommer
 
Регистрация: 28.07.2010
Сообщений: 9

Сообщение от B@rmaley.e><e Посмотреть сообщение
Таким образом, вредоносный код получит только текущий юзер.
Ну, да, - действительно....
100% верный ответ относительно JavaScript.
Остаются небольшие сомнения по поводу других скриптов, которые могут быть введены. php, например
Ответить с цитированием
  #22 (permalink)  
Старый 23.10.2011, 18:08
х.з
Посмотреть профиль Найти все сообщения от dmitriymar
 
Регистрация: 21.11.2010
Сообщений: 4,588

Сообщение от B@rmaley.e><e
Сообщение от sommer
Теги <script> удалятся только после публикации.
Таким образом, вредоносный код получит только текущий юзер.
но он это сравнительно недавно сказал,до этого было:

Сообщение от sommer
А вот если сохранить сообщение с внедренным скриптом в базе и потом его отобразить с помощью innerHTML, то они вполне работают.
Сообщение от sommer
На серверную сторону валидация ASP.Net сама не пропустит любые тэги, ну а если все-таки каким-то чудом в базу сохранился код, то после обработки HtmlEncode любой код становится просто текстом...
Ответить с цитированием
  #23 (permalink)  
Старый 23.10.2011, 20:30
Аватар для B@rmaley.e><e
⊞ Развернуть
Отправить личное сообщение для B@rmaley.e><e Посмотреть профиль Найти все сообщения от B@rmaley.e><e
 
Регистрация: 11.01.2010
Сообщений: 1,810

Сообщение от sommer
php, например
Ну это тут вообще не при чём. Для исполнения php нужен интерпретатор php, которого в браузере нет.

Сообщение от dmitriymar
до этого было
В самом начале этого не было. Судя по первому посту, подразумевалось копирование содержимого какого-нибудь textarea в innerHTML, скажем, div'а. Без использования серверной стороны вообще.
Ответить с цитированием
  #24 (permalink)  
Старый 23.10.2011, 20:34
х.з
Посмотреть профиль Найти все сообщения от dmitriymar
 
Регистрация: 21.11.2010
Сообщений: 4,588

Сообщение от B@rmaley.e><e
В самом начале этого не было. Судя по первому посту, подразумевалось копирование содержимого какого-нибудь textarea в innerHTML, скажем, div'а. Без использования серверной стороны вообще.
мы по разному поняли его)
Ответить с цитированием
  #25 (permalink)  
Старый 23.10.2011, 20:37
Аватар для Magneto
Люмус, Емаксос Developer!
Отправить личное сообщение для Magneto Посмотреть профиль Найти все сообщения от Magneto
 
Регистрация: 06.05.2010
Сообщений: 677

Нет никакой опасности. Давно известно что валидацию данных нужно проводить на серверной стороне. То что делается силами javascript, на стороне клиента, предназначенно только для удобства пользователя.
Ответить с цитированием
  #26 (permalink)  
Старый 24.10.2011, 09:39
Новичок на форуме
Отправить личное сообщение для sommer Посмотреть профиль Найти все сообщения от sommer
 
Регистрация: 28.07.2010
Сообщений: 9

Бормалей меня правильно понял.
Вопрос был именно о клиентской стороне. С серверной стороной я разобрался.
Пожалуй, успокоюсь ответами. Спасибо.
Но для большей уверенности добавлю энкодинг приведенный мною выше.
( на всякий случай )
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
На подобие innerHTML qwermjk Общие вопросы Javascript 6 02.11.2010 02:10
Помогите плз innerHTML chelsea Общие вопросы Javascript 5 20.09.2010 14:33
InnerHTML почему-то работает не так, как хотелось бы. помогите Dima00782 Общие вопросы Javascript 2 13.06.2010 20:17
innerHTML and z-index ViZ0R Общие вопросы Javascript 5 12.08.2009 09:28
ошибка с innerHTML Gekt0r Общие вопросы Javascript 15 21.08.2008 10:57