W dniu 11 maja 2011 17:16 użytkownik Jakub Zawadzki <[email protected]> napisał: > On Wed, May 11, 2011 at 04:05:02PM +0200, Bartosz Brachaczek wrote: >> Czy w ogóle wszystkim to pasuje. > > Mnie pasuje jeśli klient nieznające htmla (ekg, ekg2) będą dalej działac.
Z tym nie będzie problemu ;). >> 1. Stripować nieprzewidzanie przez protokół znaczniki HTML w >> odebranych wiadomościach (np. <script> zamieniać na <script>). > > <script> jest prawidłowym znacznikiem HTML, opisanym między innymi w [1]. > > [1] http://www.w3.org/TR/html4/interact/scripts.html#h-18.2.1 Właśnie dlatego nie można go przepuszczać w niewyescapowanej formie, gdyż klient znający HTML mógłby wykonać kod znajdujący się wewnątrz znacznika. A protokół Gadu-Gadu nie przewiduje wykorzystania tego znacznika, jak można przeczytać w [1]. Oczywiście można zrzucić tę odpowiedzialność na klienta, ale naturalnym wydaje mi się robienie tego po stronie libgadu. [1] http://toxygen.net/libgadu/protocol/#ch1.6.2.1 Pozdrawiam _______________________________________________ libgadu-devel mailing list [email protected] http://lists.ziew.org/mailman/listinfo/libgadu-devel
