Re(10): Ich kann noch mehr
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Geizhals » Shorturls blockieren (46 Beiträge, 988 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Geizhals  #6150022
Vom Autor zurückgezogen
substitute
09.09.2010, 13:35:45
Diskussion beendet Alle Chronologisch
 
PLONKED Melden nicht möglich
. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 13:35:58)
. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 13:36:05)
. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 13:36:15)
.  Re: Shorturls blockieren  (mko am 09.09.2010, 13:48:21)
..  Re(2): Shorturls blockieren  (Justin B. am 09.09.2010, 14:37:05)
...  Ich kann noch mehr  (hellbringer am 09.09.2010, 14:46:13)
.... Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 14:59:09)
.....  Re(2): Ich kann noch mehr  (hellbringer am 09.09.2010, 15:11:05)
....  Re: Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 16:01:31)
.....  Re(2): Ich kann noch mehr  (hellbringer am 09.09.2010, 16:07:04)
......  Re(3): Ich kann noch mehr  (kaufinator1 am 09.09.2010, 18:01:04)
......  Re(3): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 18:49:53)
.......  Re(4): Ich kann noch mehr  (hellbringer am 09.09.2010, 19:01:52)
........  Re(5): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 19:04:53)
......... Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 19:07:41)
..........  Re(7): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 19:12:38)
.........  Re(6): Ich kann noch mehr  (hellbringer am 09.09.2010, 19:09:47)
..........  Re(7): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 19:13:24)
...........  Re(8): Ich kann noch mehr  (hellbringer am 09.09.2010, 19:28:29)
............  Re(9): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 19:38:37)
.............
^ Forum  Geizhals  #6150946
Re(10): Ich kann noch mehr
hellbringer
09.09.2010, 21:06:53
Was invalider Code ist und was nicht, ist browserabhängig, Browser halten sich
nun mal nicht an den W3C-Standard und interpretieren HTML-Fehler ziemlich
freizügig.


Trotzdem kann man den HTML-Code so weit sauber halten, dass es in jedem Browser valide ist.

Wir filtern HTML-Steuerzeichen nicht, weil wir eben ein Subset von HTML
erlauben.


Deswegen schrieb ich ja auch "alle als Text geltenden HTML-Steuerzeichen" und nicht "alle HTML-Steuerzeichen".

Aber mal davon abgesehen, um auf eure merkwürdige Methode zurückzukommen:


˂a href="http://example.org/" onclick="alert('foobar')">Klick</a>


wird zu 


&lt;a href="http://example.org/" onclick="alert('foobar')"&gt;Klick</a><br><!-- > --><!-- " -->


Die angehängten Kommentare gehen wohl eher als zweifelhafter Versuch denn als ernsthafter Schutz vor Schadcode durch. Im Gegenteil, sie haben mir bei meinem Versuch sogar in die Hände gespielt. Kritisierbar ist auch, dass invalider HTML-Code erzeugt wird (ein schließender a-Tag, der nicht da sein soll).

In dem Fall wäre eine korrekte und saubere Lösung:


<a href="http://example.org/">Klick</a>


Das sollte jeder brauchbare HTML-Filter mit einer White-List hinkriegen.

Davon abgesehen würde ich HTML-Steuerzeichen in einem Text-Knoten (und nur dort) konsequent durch Entitäten ersetzen. Beispiel:


<span>"A" > "B"</span>


wird zu


<span>&quot;A&quot; &gt; &quot;B&quot;</span>


Und wenn dann noch jemand Javascript-Code ausführen oder schadhaften HTML-Code reinschmuggeln kann, muss er schon ziemlich gut sein. Ich seh da zumindest keine große Möglichkeit, außer man findet Leaks im HTML-Parser des Filters.

09.09.2010, 22:57 Uhr - Editiert von hellbringer, alte Version: hier
Diskussion beendet PM Alle Chronologisch Zum Vorgänger
 
Melden nicht möglich
..............  Re(11): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 23:02:03)
...............  Re(12): Ich kann noch mehr  (hellbringer am 09.09.2010, 23:48:06)
................  Re(13): Ich kann noch mehr  (mjy@geizhals.at am 10.09.2010, 09:15:03)
...  Re(3): Shorturls blockieren  (mko am 09.09.2010, 15:23:21)
....  Re(4): Shorturls blockieren  (Justin B. am 09.09.2010, 17:23:27)
.....  Re(5): Shorturls blockieren  (mko am 09.09.2010, 17:24:53)
.....  Re(5): Shorturls blockieren  (Oliver_nur echt mit 2 Kastratern und Daisy! am 09.09.2010, 19:10:42)
..  Re(2): Shorturls blockieren  (kakazza am 09.09.2010, 15:11:48)
.  Re: Shorturls blockieren  (mjy@geizhals.at am 09.09.2010, 20:11:02)
.  Re: Shorturls blockieren  (Diabolo2000 am 09.09.2010, 22:00:12)
.  Re: Shorturls blockieren  (Fitz am 10.09.2010, 18:31:42)
.. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 10.09.2010, 21:45:44)
.  Blödsinn  (magiceye04 am 12.09.2010, 00:02:23)
..  Re: Blödsinn  (Justin B. am 12.09.2010, 00:54:33)
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung