come fare per essere sicuro che in un campo non venga considerato codice server e client, ma solo html?
ad esempio ho appurato che per il giavascript non e' sufficiente escludere il tag, poiche' internet eplorer
interpreta javascript anche tag di questo tipo
es
<?javascrip... oppure
<javascrip?... ecc...
Come faccio quindi ad essere sicuro che nessuno riesca ad inserirlo
Per i linguaggi server e' sufficiente escludere
<%, <%@, <! ecc....?
Vuoi dire che vuoi evitare che scrivendo in una campo form del codice client/server, questo, scritto sulla pagina, non debba essere interpretato?
esattamente
deve essere interpretato solo lhtml scritto
ma deve essere sicuro al 100% altrimenti se ci fosse qualcuno malintenzionato hacker mi distruggerebbe i lsito
Quando scrivi il testo nella pagina fai
codice:response.write server.htmlEncode(testo)
tutta colpa dell'ora tarda
pero' cosi facendo il testo anche se viene reso inoffesnsivo, non viene formattato!
e dovrei creare dei tag personalizzati per sopperire al problema troppo prolisso!
Non ci sarebbe un'altra souzione
fai dei replace in cui elimini i tag pericolosi
si lo so in fatti io proprio quell ochiedevo quali sono i tag pericolosi dato che internet explore interpreta javascript anche se storpi la parola
ad esempio con perl quale dicitura dovrei escludere
Permessi di invio
Rispondi quotando