Archívum - Jan 14, 2008 - Fórum téma
HtmlTidy és társai - user input biztonság
Sziasztok!
A véleményetekre és tapasztalatotokra vagyok kíváncsi azzal kapcsolatban, hogy mennyire használhatóak, biztonságosak a mai "HTML-tisztító" függvénykönyvtárak.
Igazából azon töröm a fejem, hogy készülő wikipedia-szerű projektem felületszerkesztőét egy fejlett editor-ra, pl a TinyMce-re bízom - azonban én még úgy tanultam, hogy nem ajánlott a mindennapi user kezébe html-kód szerkesztőt adni, hiszen nagy a biztonsági kockázata (XSS, Sql injection, stb.). Korábbi munkáimnál csak az adminok számára volt engedélyezve a lehetőség.
Kérdésem, hogy megoldást jelentenek e a mai html szűrők, mint pl.
HTML Tidy
HTML Purifier - 3.0-ás változata épp a napokban jelent meg, és css stílusformázást, egyéb nyalánkságokat is tartalmaz
SafeHTML - eddig minden projektemnél ezt használtam user input szűrésre, de félek lassan kiöregedik szegény, fejleszteni meg csak nem akarják...
Teszteltem az utóbbi kettőt a weblaboron egy korábban megjelent XSS cheatsheet segítségével, és mindkettő eltávolította a veszélyes kódokat (a HTMLPurifier benthagyott pár dolgot, a kommentezéssel egybekötött xss támadásoknál, de szerintem elégséges kódot vágott ki, hogy ne működjön a támadás).
Ez valójában már a B-terv, eredetileg egy ultimate html to bbcode konverterbe kezdtem a tinymce kimenetéhez (a gyári bbcode plugin még eléggé gyermekcipőbe jár), de látva, hogy ez nem kis meló a sok formázási lehetőség miatt, szeretném tudni megéri e, vagy ma már felesleges aggódni az említett kódtisztítók mellett.
A válaszokat előre is köszönöm!
■ A véleményetekre és tapasztalatotokra vagyok kíváncsi azzal kapcsolatban, hogy mennyire használhatóak, biztonságosak a mai "HTML-tisztító" függvénykönyvtárak.
Igazából azon töröm a fejem, hogy készülő wikipedia-szerű projektem felületszerkesztőét egy fejlett editor-ra, pl a TinyMce-re bízom - azonban én még úgy tanultam, hogy nem ajánlott a mindennapi user kezébe html-kód szerkesztőt adni, hiszen nagy a biztonsági kockázata (XSS, Sql injection, stb.). Korábbi munkáimnál csak az adminok számára volt engedélyezve a lehetőség.
Kérdésem, hogy megoldást jelentenek e a mai html szűrők, mint pl.
HTML Tidy
HTML Purifier - 3.0-ás változata épp a napokban jelent meg, és css stílusformázást, egyéb nyalánkságokat is tartalmaz
SafeHTML - eddig minden projektemnél ezt használtam user input szűrésre, de félek lassan kiöregedik szegény, fejleszteni meg csak nem akarják...
Teszteltem az utóbbi kettőt a weblaboron egy korábban megjelent XSS cheatsheet segítségével, és mindkettő eltávolította a veszélyes kódokat (a HTMLPurifier benthagyott pár dolgot, a kommentezéssel egybekötött xss támadásoknál, de szerintem elégséges kódot vágott ki, hogy ne működjön a támadás).
Ez valójában már a B-terv, eredetileg egy ultimate html to bbcode konverterbe kezdtem a tinymce kimenetéhez (a gyári bbcode plugin még eléggé gyermekcipőbe jár), de látva, hogy ez nem kis meló a sok formázási lehetőség miatt, szeretném tudni megéri e, vagy ma már felesleges aggódni az említett kódtisztítók mellett.
A válaszokat előre is köszönöm!
JavaScript objektum összes függvényének és attribútumának listája
Sziasztok!
Gondolom már volt téma, de nem találtam meg, hogy hogyan lehet egy javascript objektumról megtudni, hogy milyen függvényei és attribútumai vannak.
Köszi a választ!
Üdv:
pentike
■ Gondolom már volt téma, de nem találtam meg, hogy hogyan lehet egy javascript objektumról megtudni, hogy milyen függvényei és attribútumai vannak.
Köszi a választ!
Üdv:
pentike
3d hatású szöveg
Sziasztok!
Nem tud valaki olyan css tulajdonságról vagy javascript motorról, amivel megoldható lenne hogy, egy-egy divben tárolt szöveget kicsit elforgassunk, torzítsunk. A cél az lenne, hogy a szöveg úgy nézzen ki mintha a térben lenne egy lapon például.
Köszi előre is.
■ Nem tud valaki olyan css tulajdonságról vagy javascript motorról, amivel megoldható lenne hogy, egy-egy divben tárolt szöveget kicsit elforgassunk, torzítsunk. A cél az lenne, hogy a szöveg úgy nézzen ki mintha a térben lenne egy lapon például.
Köszi előre is.
Igazítás CSS nélkül
Segítséget kérek.
Az a gondom, hogy a www.commechezvousabudapest.com index oldalán megőrizve a H1 és H2 tagot nem tudom függőlegesen lejebb vinni az alábbi 2 szöveget.
L'appartement Asterix et l'appartement Obelix vous attendent dans le vrai centre de Budapest
Ha kiveszem a H1 és H2 tagokat, akkor meg tudom csinálni lásd www.commechezvousabudapest.com/fra/appartements_fr.html
Bezavarnak a H1 és H2 tagok
(Sajnos nem tudok CSS-ül.)
■ Az a gondom, hogy a www.commechezvousabudapest.com index oldalán megőrizve a H1 és H2 tagot nem tudom függőlegesen lejebb vinni az alábbi 2 szöveget.
L'appartement Asterix et l'appartement Obelix vous attendent dans le vrai centre de Budapest
Ha kiveszem a H1 és H2 tagokat, akkor meg tudom csinálni lásd www.commechezvousabudapest.com/fra/appartements_fr.html
Bezavarnak a H1 és H2 tagok
(Sajnos nem tudok CSS-ül.)
