Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 2 su 2
  1. 31-10-2006, 17:52 #1
    Clodo
    Clodo non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2006
    Messaggi
    29

    Permettere CSS in un tag bbCode

    Ciao a tutti,
    stavo valutando la possibilità di inserire in un forum un tag bbCode [DIV] lasciando la possibilità di inserire come parametro lo 'style', ad esempio
    codice:
    [DIV="float:left;background-color:#FF0000"]MyText[/DIV]
    renderizzato in html come
    codice:
    <div style="float:left;background-color:#FF0000">MyText</div>
    Secondo voi, quanto può essere pericoloso?
    Abilitare HTML in una board è pericoloso perchè gli utenti potrebbero inserire script o altro, ma nei CSS?

    Grazie a tutti!
    Rispondi quotando Rispondi quotando
  2. 31-10-2006, 18:58 #2
    Clodo
    Clodo non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2006
    Messaggi
    29
    Facendo un pò di prove e cercando in giro, l'unica
    controindicazione che ho trovato per ora è la seguente:
    codice:
    <div style="background-image: url('javascript:alert('no..');');">
	MyText
</div>
    IE6 mostra l'alert, FireFox 1.5 e Opera 9 no.
    Non ho provato con IE7 o FF2.

    Non ho trovato altri modi di fare un'injection di javascript se non via url() in css, per cui potrei radicalmente filtrare e impedire gli url() nel mio parser bbCodes, impedendo risorse esterne, il che risolverebbe anche questo caso:
    codice:
    <div style="@import url(othercsswithjavascript.css);">...</div>
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.