[Gelistirici] [Projeler-commits] r421 - in zangetsu: blog blog/templatetags templates/blog
Bahadır Kandemir
bahadir at pardus.org.tr
25 Ağu 2007 Cmt 22:09:29 EEST
25 Ağu 2007 Cts tarihinde, projeler-commits at pardus.org.tr şunları yazmıştı:
> Author: meren
> Added:
> zangetsu/blog/templatetags/filters.py
>
> +# Allowed tags and attributes for HTML formatted comments:
> +VALID_TAGS = "em p i hr span font strong b u a h1 h2 h3 pre br img"
> +VALID_ATTRS = "href src class width size noshade face size color style
> align title hspace vspace"
Style is evil. XSS için kullanılabiliyor.
IE6 ile denedim, <tag style="hede:exp/*hodo*/ression(alert('xss'))"> kodunu
çalıştırdı. IE7'de de bu açık varmış.
Style'a izin vermeyelim. Hatta boşver sen bu sanitize kodunu, tamamen kapat
HTML kullanımını.
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20070825/9cfae78f/attachment-0002.pgp>
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi