Home
CSS
PHP
HTML
JavaScript
Allgemein
Sitemap
Kein Angriff auf Ihre Webseite...Nicht der Server wird versucht zu manipulieren, sondern es wird versucht, einem Browser in einer HTML-Seite JavaScript unterzuschieben. Javascript hat Zugriff auf das Cookie und auf das aktuelle Dokument, schön wenn es Formularfelder enthält. ...aber möglicherweise helfen Sie dem Hacker.Text eines Nutzers, den Sie ohne weitere Prüfung z.B. in Ihr Gästebuch schreiben, wäre so ein Beispiel. In HTML Tags eingepackt könnte dort JavaScript Code eingeschleust werden. Eine derartig manipulierte Seite wird von einem weiteren Nutzer geladen und der enthaltene Code auf seinem Rechner ausgeführt. Das Problem ist nicht nur auf den Textbeitrag beschränkt, auch ein angegebener URL könnte, als Parameter angehängt, Script-Code enthalten. Ich verzichte hier auf Codebeispiele und möchte nur einfach warnen: Entfernen Sie eingebaute Tags aus Usereingaben, prüfen Sie den URL auf "überflüssigen" Anhang und entfernen Sie ihn. Es wäre doch ärgerlich, wenn Ihre Webseite durch eine Nachlässigkeit den Status "untrusted" bekommt. Und nicht umsonst die Tendenz, dass in vernünftigen Diskussionsforen keine HTML Eingabe mehr möglich ist. Stattdessen gibt es meist eine Alternative (BBCode), um Textauszeichnungen vorzunehmen, Smiley's einzufügen usw. Dieser Code wird auf dem Server in HTML umgesetzt und kann dann keinen Schaden anrichten resp. irgendwas hinterlistiges einschleusen. |
Ein informativer Artikel in Deutsch und viele weitere Links bei Wikipedia | |
