On Wed, May 11, 2011 at 06:13:40PM +0200, Bartosz Brachaczek wrote: > > <script> jest prawidłowym znacznikiem HTML > > Właśnie dlatego nie można go przepuszczać w niewyescapowanej formie, > gdyż klient znający HTML mógłby wykonać kod znajdujący się wewnątrz > znacznika.
To proste, niech nie wykonuje ;-) > A protokół Gadu-Gadu nie przewiduje wykorzystania tego > znacznika, jak można przeczytać w [1]. A widziałeś co przesyła taki Ezobot? http://darkjames.pl/tmp/ggmsg80-bot.log Enjoy! :> Niby opakowane w <bot cls="1" body= /> ale i css można znaleźć i javascript... > Oczywiście można zrzucić tę odpowiedzialność na klienta, > ale naturalnym wydaje mi się robienie tego po stronie libgadu. Mnie się właśnie wydaje bardziej naturalne robienie tego po stronie klienta. <script /> nie jest jedynym niebezpiecznym znacznikiem. Pozdr. _______________________________________________ libgadu-devel mailing list [email protected] http://lists.ziew.org/mailman/listinfo/libgadu-devel
