фильтры и безопасность
Прислано: igdrasil@drupal.org
сб, 19/05/2007 - 07:49
Другие статьи по теме:
не силен в атаках через всякие инъекции, просто хотелось бы узнать, какие теги лучше запретить в фильтрах ввода не в ущерб функциональности? на сайте стоит TinyMCE, и сейчас возникла реальная угроза, что его будут пытаться сломать
- igdrasil@drupal.org's blog
- Для комментирования войдите или зарегистрируйтесь
Опубликовано Dan в сб, 19/05/2007 - 14:01.
Инъекции в html отношения не имеет - это атака на БД.
С точки зрения безопасности можно разрешить все теги оформления, но осторожнее с table и div - безопасность не пострадает, но дизайн может расползтись.
Однозначно запретить встраивание объектов (кроме img).
- Для комментирования войдите или зарегистрируйтесь
Опубликовано igdrasil@drupal.org в сб, 19/05/2007 - 15:00.
HTML Injection refers to injecting HTML code into a web servers response to alter the content to the end user. - по первой ссылке в гугле... я в общем-то это и имел в виду, а не атаку на базу данных
- Для комментирования войдите или зарегистрируйтесь
Комментарии