> On Wed April 2 2008, Bernhard Seckinger wrote: > > > ich verstehe schlicht und ergreifend nicht, warum man div sperren muss... > > Es wäre sonst eine Sicherheitslücke: > http://ha.ckers.org/xss.html > http://de.wikipedia.org/wiki/XSS
Danke, das hilft weiter: Allerdings scheint mir die Maßnahme nicht sonderlich sinnvoll, denn a) Bei anderen HTML-Tags wird Javascript auch erst innerhalb von style="" rausgefiltert und b) wenn ich <DIV> an Stelle von <div> schreibe, wird es akzeptiert (und dort werden auch problematische XSS-Stellen entfernt). Hab' das grad in der Sandbox ausprobiert... Kann natürlich sein, dass ich da was nicht überblicke, aber ich bin immernoch am kopfschütteln. Grüßle, Berni -- -- Schau doch mal wieder bei CrocoPuzzle rein. (www.croco-puzzle.com) _______________________________________________ Talk-de mailing list [email protected] http://lists.openstreetmap.org/cgi-bin/mailman/listinfo/talk-de
