hallo Tom,

Hm. Ich wittere Ungemach.

FTP-Zugang besteht i.d.R. nicht.

Uiiii ... also wird das, was du hochladen möchtest, über irgendeinen anderen Mechanismus realisiert. Du hast verschwiegen, daß du ein upload-Script nutzt, das in PHP oder irgendeiner anderen perfiden Technologie gefaßt ist und mit dem du FTP autricksen willst. Schäm dich! Da hättest du nämlich ein anderes Topic als dieses dümmliche "HTML" auswählen müssen.

Man lädt eben über ein Uploadformular seinen Text, seine Bilder und ggf. auch Formatierungen hoch.

"Formatierungen" sind noch keine Scripts ;-p

Aber selbst bei Bulletin-Systemen mit eigenem Formatierungscode ist es manchmal möglich, den String <script> in der Ausgabe zu erzeugen. Das reicht dann i.d.R. schon, um ein Script zu aktivieren.

Halt mal. _Das_ ist jetzt zu kurz. Ja, du hast recht, wenn in einer derart hochgeladenen Seite ein
  <script>
steht, reicht das  -  für allerhand Dinge, die dann plötzlich auf Clientseite passieren dürfen.

Auch <meta ...> wäre eventuell tödlich.

"Tödlich" ist meines Erachtens etwas zu drastisch ausgedrückt.

Die Idee mit einer kleinen Walpurgis-Teufelei ist zwar nett, aber diesmal nicht die meine ;-)

Kannst du mal sehen, was ich dir alles zugetraut hätte.

Nö. So einfach isses denn auch nicht.
Was ist nicht so einfach? Die Tags rauszufiltern?

Gut, werden wir ernsthaft. Vielleicht habe ich ja auch deine Frage noch nicht wirklich verstanden, oder ... (ähm, heute gibts wegen der Walpurgisnacht keinen Wein, sondern ordinäres Bier)

Es gab ein System, dass diverse JavaScripts zugelassen hat, weil der Autor dort <b> und <p> und noch ein paar ausgewählte Tags nebst CSS zugelassen hat.

Lieber Tom  -  das verstehe ich nicht. Jedenfalls nicht die Kausalität. _weil_ jemand <b> und <p> in seinen HTML-Code einträgt, wird am Ende schädliches Javascript vom Server ausgegeben? Das ist ein mir unerklärliches Phänomen.

Da hatte er übersehen, dass die auch locker ein onLoad oder ein onClick usw. vertragen haben. Das war dann die Sicherheitslücke

Ich fürchte, daß dir zwar die (möglichen) Zusammenhänge sehr klar sind, du sie aber einfach nicht verständlich "rüberbringst". Tut mir leid, Kollege, aber ich verstehe dich nicht. Und du weißt, daß mich mein miserabler "Ruf" in diesem Forum an dieser Stelle zwingen muß, dich mit einem arroganten Hinweis auf

abzuspeisen.

Erst hat er gar nicht gewusst, was ich von ihm wollte...

Mir gehts im Moment genauso. Es gibt irgendein Gedicht von Christian Morgenstern, in dem die Zeile vorkommt:
  "er weiß nicht, was die $name singt,
   er weiß nur, daß es lieblich klingt"

Grüße aus Berlin

Christoph S.