- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В переменную $html попадает HTML табличка со страницы но т.к. запрос легко подделать, возникает вопрос безопасно ли оставлять те символы которые я не вырезал функцией preg_replace.
Все это с учетом что файл будет доступен по HTTP
Есть ли тут угроза?
.
спустя 5 мин :)
Как я сейчас понимаю в эту страницу минимум можно будет вставить JavaScript ? Как защититься?
Достаточно ли будет блокировать создание файла если в тексте присутствует сочетание символов script ?
Тут ещё надо ограничить размер строки, чтобы избежать возможную флуд-атаку.
А что если в переменной html будет спрятан в коментариях специальный пароль, обнаружив который можно будет "доверять" содержимому. Тоесть вместо того, чтобы исключать символы, наоборот будем искать специальный ключ говорящий об верном источнике переменной. Потом в php этот ключ вырезается.
Дело в том что табличка берется со страницы Яваскриптом и посылается XMLHttpRequest в скрипт, так что в ней ни чего нельзя спрятать ибо пользователь все может увидеть что в ней есть.
Какие у кого еще есть размышления?
Для вырезания неугодных тегов пользуюсь таким решением, полностью доволен.
Для вырезания неугодных тегов пользуюсь таким решением, полностью доволен.
Если я правильно понял бегло изучив ссылку то результатом использования предлагаемого решения будет вырезание всех возможных скриптов и т.п. оставив в переменной голый HTML?
Если я правильно понял бегло изучив ссылку то результатом использования предлагаемого решения будет вырезание всех возможных скриптов и т.п. оставив в переменной голый HTML?
Почти. Вы задаёте какие теги разрешены. Всё остальное будет удалено. В том числе и запрещённые обработчики inline, например onclick, onmousemove, etc... Именно для очистки данных от визивига и использую.