Già togliendo quella bella istruzione eval...Esistono infinite combinazioni di modi in cui posso generare la stringa document.cookie senza che tu la possa intercettare.
Vediamo la tua proxima mossa
Già togliendo quella bella istruzione eval...Esistono infinite combinazioni di modi in cui posso generare la stringa document.cookie senza che tu la possa intercettare.
Vediamo la tua proxima mossa
vabbeh, si discuteva d'atro comunque, no? e anche se fosse davvero *valida* quella stringa, non andrebbe bene perchè, come ho detto, gli utenti devono poter mettere html, hjavascript e javascript che interroghi i cookie.Originariamente inviato da mark2x
Già togliendo quella bella istruzione eval...
Vediamo la tua proxima mossa
Gli utenti devono inserire codice che interroghi i biscottini???
Gli utenti???
Ohmamma.
ostinato eh?Originariamente inviato da mark2x
Sì, così poi il JavaScript col cxxo che te la interpreta
Vedi un po' se te la interpreta, perché da me non ha alcun problema a farlocodice:<script> var a = String.fromCharCode(97+3,97+14,97+2,97+20,97+12,97+4,97+13,97+19,97-51,97+2,97+14,97+14,97+10,97+8,97+4); eval("alert("+a+")"); </script>
In ogni modo non è questo il problema, perché il javascript deve essere abilitato all'utente (ripeto, stiamo parlando di colui che crea il blog e lo amministra, non dei commentatori, che invece non possono inserire javascript).
ennò caro, devi toglierlo l'eval....Originariamente inviato da skidx
ostinato eh?
Vedi un po' se te la interpreta, perché da me non batte cigliocodice:<script> var a = String.fromCharCode(97+3,97+14,97+2,97+20,97+12,97+4,97+13,97+19,97-51,97+2,97+14,97+14,97+10,97+8,97+4); eval("alert("+a+")"); </script>
Perhè mai l'utente che amministra il sito dovrebbe inserire JS in modo "dinamico" ??In ogni modo non è questo il problema, perché il javascript deve essere abilitato all'utente (ripeto, stiamo parlando di colui che crea il blog e lo amministra, non dei commentatori, che invece non possono inserire javascript).
Queste cose ultramoderne non le capisco
E se mette il javascript in un foglio esterno? La tua soluzione non funziona :EOriginariamente inviato da mark2x
Perhè mai l'utente che amministra il sito dovrebbe inserire JS in modo "dinamico" ??
Nondimeno secondo me state cercando di avere la botte piena e la moglie ubriaca
"Nei prossimi tre anni col mio governo vogliamo vincere anche il cancro, che colpisce ogni anno 250.000 italiani e riguarda quasi due milioni di nostri concittadini"
Tutto questo in maniera dinamica? O stiamo parlando del sesso degli angeli??
Per inculare la password agli altri utenti della piattaforma?Originariamente inviato da mark2x
Perhè mai l'utente che amministra il sito dovrebbe inserire JS in modo "dinamico" ??
E' di questo che stiamo parlando, eh. Non di un sito generico qualsiasi. Di una piattaforma che ospita blog di chiunque.
Cosa ottieni cancellando l'eval() o qualsiasi altra stringa non si sa, perché basta linkare un javascript esterno per bypassare le più fantasiose regexp.
Per avere la skin del blog intercambiabile, ad esempio!Originariamente inviato da mark2x
Perhè mai l'utente che amministra il sito dovrebbe inserire JS in modo "dinamico" ??
Queste cose ultramoderne non le capisco
Perchè no? E' un blog!
E' così; se la soluzione per ovviare a un problema non fondamentale di utenti sloggati è togliere loro una funzionalità e limitarli, scusa, non vale la pena.
Quoto in risposta. Poi scegli tu...Originariamente inviato da chris
Nondimeno secondo me state cercando di avere la botte piena e la moglie ubriaca
[A me sti blog ultradinamici cmq sembrano inutili IMHO eh]
[Perchè la skin del blog non può esser scalta tra alcune già disponibili punto e basta? Io continuo a non capirne l'utilità. Sarò gretto...]
Permessi di invio
Rispondi quotando