nicht angemeldet
Heißa, Tom,
Irgendwo habe ich mal gelesen, dass es Browser gibt, die eine Syntax wie
&{variable+1};
interpretieren. Ich kann mich nicht mehr genau erinnern, wie die Syntax war. Jedenfalls konnte man auf diese Weise hier zum Beispiel den Rückgabewert der Aktion variable+1 in den HTML-Code (überall, wo halt HTML-Entities hindürfen) hineinschreiben. Auf diese Weise könnte man auch einfach den Rückgabewert von window.open() oder sonstigen schädlichen Aktionen ausgeben lassen – eine weitere Sicherheitslücke also.
Nicht, dass ich hier irgendjemandem erzählen möchte, dass er solche Dinge benutzen soll, ich möchte dich nur darauf hinweisen, dass es die Möglichkeit gibt. Du wirst im Internet bestimmt noch etwas darüber finden. Ansonsten könnte ich hier noch mal mein O’Reilly-JavaScript-Buch herauskramen.
Caramba!
Grüße aus Biberach Riss,
Candid Dauth (ehemals Dogfish)
„Erwecke niemals bei jemandem dem Eindruck, dass er etwas anders machen solle, weil er es anders macht als du, wenn er es besser macht als du.“ | Mein SelfCode
http://cdauth.de/