Cześć, potrzebuje w treści wprowadzonej przez użytkownika wstawić emotikony
w skrócie zamienić
Hello :) World
Hello <http://december.com/html/4/element/img.html src="/assets/smile.png"> World
Hello <http://december.com/html/4/element/a.html href="#">:)</http://december.com/html/4/element/a.html> World
Mógłbyś zaprezentować przykład takiego ataku na podstawie podmiany emotki na obrazek?
Aby wyświetlić emotikone, potrzebowałem zaznaczyć że przekazany tekst jest bezpieczny do renderowania.
W ten sposób osoba atakująca mogła wrzucić w treść wiadomości <iframe> czy inne tagi.
Zapomniałem, że mogę najpierw zrobić escape na otrzymanej wiadomości, później dokonać podmiany i na samym końcu oznaczyć jako "safe"
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)