Re(12): Ich kann noch mehr
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Geizhals » Shorturls blockieren (46 Beiträge, 1003 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Geizhals  #6150022
Vom Autor zurückgezogen
substitute
09.09.2010, 13:35:45
Diskussion beendet Alle Chronologisch
 
PLONKED Melden nicht möglich
. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 13:35:58)
. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 13:36:05)
. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 13:36:15)
.  Re: Shorturls blockieren  (mko am 09.09.2010, 13:48:21)
..  Re(2): Shorturls blockieren  (Justin B. am 09.09.2010, 14:37:05)
...  Ich kann noch mehr  (hellbringer am 09.09.2010, 14:46:13)
.... Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 14:59:09)
.....  Re(2): Ich kann noch mehr  (hellbringer am 09.09.2010, 15:11:05)
....  Re: Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 16:01:31)
.....  Re(2): Ich kann noch mehr  (hellbringer am 09.09.2010, 16:07:04)
......  Re(3): Ich kann noch mehr  (kaufinator1 am 09.09.2010, 18:01:04)
......  Re(3): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 18:49:53)
.......  Re(4): Ich kann noch mehr  (hellbringer am 09.09.2010, 19:01:52)
........  Re(5): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 19:04:53)
......... Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 09.09.2010, 19:07:41)
..........  Re(7): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 19:12:38)
.........  Re(6): Ich kann noch mehr  (hellbringer am 09.09.2010, 19:09:47)
..........  Re(7): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 19:13:24)
...........  Re(8): Ich kann noch mehr  (hellbringer am 09.09.2010, 19:28:29)
............  Re(9): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 19:38:37)
.............  Re(10): Ich kann noch mehr  (hellbringer am 09.09.2010, 21:06:53)
..............  Re(11): Ich kann noch mehr  (mjy@geizhals.at am 09.09.2010, 23:02:03)
...............  Re(12): Ich kann noch mehr  (hellbringer am 09.09.2010, 23:48:06)
................  Re(13): Ich kann noch mehr  (mjy@geizhals.at am 10.09.2010, 09:15:03)
...............
^ Forum  Geizhals  #6151015
Re(12): Ich kann noch mehr
hellbringer
09.09.2010, 23:48:06
Einen Validator einzubauen ist ein overkill - und das wäre dafür notwendig
(alles, was validiert, tolerieren und dann tags/attribute filtern).


Nicht wirklich. Das ist sogar sehr einfach.

Die dienen dazu um Darstellungsfehler durch offene Tags/Attribute zu vermeiden
(ist schon vorgekommen).


Falscher Ansatz. Lass es gar nicht erst dazu kommen, dass Tags offen gelassen werden (ohne diesen schmutzigen Fix).

Wie gesagt, mit hat dies sogar in die Hände gespielt. Wären die Kommentarblöcke nicht da gewesen, hätte ich nicht so einfach Erfolg gehabt, wenn überhaupt.

Doch, nur durch das " im Kommentar war dein "exploit" überhaupt möglich.


Ja, genau deshalb sollte man sie auch rausnehmen.

das stimmt, es gibt nun im Forum an 2 Stellen eine Filterung dieser Art, die
erste erzeugt diesen Effekt und ist nun eigentlich redundant ... Die zweite
schlägt bei den offenen Tags zu und löscht genau diese on*-Attribute.


Hört sich ja sehr gut an. Ich würde allerdings nicht mit einer Black-List sondern mit einer White-List arbeiten. Nicht Attribute verbieten, sondern explizit Attribute erlauben.

Was ein Text-Knoten ist, sieht ein x-beliebiger HTML-Parser leider anders als
ein Browser.


Man muss eben die Komplexität des HTML-Codes so weit reduzieren, dass es dazu erst gar nicht kommen kann. Es ist ja nicht notwendig in einem Forum alle möglichen HTML-Konstrukte zu erlauben. Was braucht man durchschnittlich? Links, Bilder, Textformatierungen (fett, kursiv), Tabellen, Quotes und Code-Blöcke. Mehr ist doch eigentlich nicht notwendig. Wozu dem User also fast grenzenlose Freiheiten erlauben? Je mehr Möglichkeiten der User hat, desto ausgefuchster muss auch die Logik sein, die die Eingabe verarbeitet. Nicht grundlos verwenden viele Foren eine reduzierte Auszeichnungssprache (zB. BBCode).
[ Dieser Beitrag wurde inzwischen editiert. Die aktuelle Version befindet sich hier. ]
Diskussion beendet PM Alle Chronologisch Zum Vorgänger
 
Melden nicht möglich
...  Re(3): Shorturls blockieren  (mko am 09.09.2010, 15:23:21)
....  Re(4): Shorturls blockieren  (Justin B. am 09.09.2010, 17:23:27)
.....  Re(5): Shorturls blockieren  (mko am 09.09.2010, 17:24:53)
.....  Re(5): Shorturls blockieren  (Oliver_nur echt mit 2 Kastratern und Daisy! am 09.09.2010, 19:10:42)
..  Re(2): Shorturls blockieren  (kakazza am 09.09.2010, 15:11:48)
.  Re: Shorturls blockieren  (mjy@geizhals.at am 09.09.2010, 20:11:02)
.  Re: Shorturls blockieren  (Diabolo2000 am 09.09.2010, 22:00:12)
.  Re: Shorturls blockieren  (Fitz am 10.09.2010, 18:31:42)
.. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (substitute am 10.09.2010, 21:45:44)
.  Blödsinn  (magiceye04 am 12.09.2010, 00:02:23)
..  Re: Blödsinn  (Justin B. am 12.09.2010, 00:54:33)
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung