nicht angemeldet
SICHERHEIT: externe Quellen
Hello,
hat von Euch schon mal jemand die verschiednen Browser auf ihre Injizierbarkeit gestestet?
Wenn ich mit
<link rel="stylesheet" type="text/css" href="http://bitworks.de/~response/checkup.css">
eine externe CSS-Ressource einbinde, ist dann sichergestellt, dass nicht doch ggf. HTML oder JavaScript-Code injiziert werden kann?
Die gleiche Frage gilt natürlich analog für
<script src="quadrat.js" type="text/javascript">
Was sagen die Sicherheitsfachleute dazu?
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hi,
<link rel="stylesheet" type="text/css" href="http://bitworks.de/~response/checkup.css">
eine externe CSS-Ressource einbinde, ist dann sichergestellt, dass nicht doch ggf. HTML oder JavaScript-Code injiziert werden kann?Beim Internet Explorer war es zumindest eine Zeitlang so, daß bei
<img src="irgendeineUrl.jpg">
wenn die irgendeineUrl.jpg aus Javascript bestand, dieses tatsächlich ausgeführt wurde.Die gleiche Frage gilt natürlich analog für
<script src="quadrat.js" type="text/javascript">Hier wird natürlich Javascript geladen. Das ist doch der Sinn der Sache ...
cu,
Andreas--
MudGuard? Siehe http://www.Mud-Guard.de/
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.-
Hello,
<link rel="stylesheet" type="text/css" href="http://bitworks.de/~response/checkup.css">
eine externe CSS-Ressource einbinde, ist dann sichergestellt, dass nicht doch ggf. HTML oder JavaScript-Code injiziert werden kann?Beim Internet Explorer war es zumindest eine Zeitlang so, daß bei
<img src="irgendeineUrl.jpg">
wenn die irgendeineUrl.jpg aus Javascript bestand, dieses tatsächlich ausgeführt wurde.Weißt Du noch die Versionen?
Die gleiche Frage gilt natürlich analog für
<script src="quadrat.js" type="text/javascript">Hier wird natürlich Javascript geladen. Das ist doch der Sinn der Sache ...
Klar, aber man könnte ja auch weiteres HTML hinterherschieben oder ein PlugIn unterjubeln, das dann macht es es will.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi,
Weißt Du noch die Versionen?
Nö. Ich weiß auch nicht, ob das behoben wurde ...
Probiers halt aus.
cu,
Andreas--
MudGuard? Siehe http://www.Mud-Guard.de/
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.-
Hello,
Weißt Du noch die Versionen?
Nö. Ich weiß auch nicht, ob das behoben wurde ...
Probiers halt aus.
Ich befürchte, dass ich das gerade unfreiwillig getan habe :-((
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-