JavaScript ágyazása stíluslap kódba
Igen, a címben szereplő csavar lehetséges. Legalábbis Internet Explorerben, hiszen az URL kifejezés paraméterének JavaScript URL-t is elfogad a böngésző. Ezzel például
Kérdés, hogy miért is jó ez? A Microsoft böngészője sokhelyütt nem támogatja kellőképpen a szabványokat, ezért időnként JS kóddal kell besegíteni. Egyszerűbb egy helyen tartani a speciálisan Internet Explorernek szánt formázási kódokat, akár CSS-ről, akár JS-ről van szó. Nade rossz oldala is van ám ennek...
Alapos webfejlesztők a felhasználói bemenetet HTML speciális karakterek és JavaScript utasítások után kutatva szűrik. Az a felfedezés, hogy a CSS-be is ágyazható immár JavaScript, azt jelenti, hogy a CSS is potenciális Cross Site Scripting (XSS) betörési felületté vált, és most már azt is kiemelt figyelemmel kell kezelni. Érdekes, hogy ez a felfedezés éppen a nálunk is hírként szereplő IE :hover támogatás kapcsán vált ismertté.
■ background: url("javascript: ...");
módon lehetővé válik aktív tartalom beépítése a stíluslapba.Kérdés, hogy miért is jó ez? A Microsoft böngészője sokhelyütt nem támogatja kellőképpen a szabványokat, ezért időnként JS kóddal kell besegíteni. Egyszerűbb egy helyen tartani a speciálisan Internet Explorernek szánt formázási kódokat, akár CSS-ről, akár JS-ről van szó. Nade rossz oldala is van ám ennek...
Alapos webfejlesztők a felhasználói bemenetet HTML speciális karakterek és JavaScript utasítások után kutatva szűrik. Az a felfedezés, hogy a CSS-be is ágyazható immár JavaScript, azt jelenti, hogy a CSS is potenciális Cross Site Scripting (XSS) betörési felületté vált, és most már azt is kiemelt figyelemmel kell kezelni. Érdekes, hogy ez a felfedezés éppen a nálunk is hírként szereplő IE :hover támogatás kapcsán vált ismertté.