2 Stimmen

Gondim avatar

Blockierung von Javascript-Ereignissen bei h:outputText mit escape=true

Gefragt el 24 de Oktober, 2011
Wann wurde die Frage gestellt
181 Ansichten
Anzahl der Besuche der Frage
1 Antworten
Anzahl der Fragenantworten
Open
Aktueller Status der Frage

Ich arbeite für eine Website, die eine Art soziales Netzwerk ist, und man kann jedem eine Nachricht schicken. Da war ein Typ, der eine

<script>alert('bah');</script>

Und es wurde ein javascript:alert..

Wie kann ich dies verhindern?

Ich habe eine Methode entwickelt, die den eingegebenen Text abruft und wenn er < getippt wird verwandelt sich in "&#60;" und > bis "&#62;"

Aber auch so funktionierte der obige Code noch. Gibt es noch etwas, das ich tun könnte, um zu verhindern, dass es wieder passiert?

Gefragt el 24 de Oktober, 2011 von Gondim

Antwort

Zu viele Anzeigen?

0voto

thotheolh avatar
thotheolh Punkte 6721

Sie können die Verwendung von Skripten auch einfach deaktivieren, indem Sie das gesamte Skript-Tag markieren und filtern.

Beantwortet el 24 de Oktober, 2011 von thotheolh (6721 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X