hi,

Vielleicht habe ich ja auch deine Frage noch nicht wirklich verstanden,

ja, davon ist wohl auszugehen.

oder ... (ähm, heute gibts wegen der Walpurgisnacht keinen Wein, sondern ordinäres Bier)

dann bleib zukünftig lieber bei deinem holundergebräu - das verträgst du offenbar besser ;-)

Es gab ein System, dass diverse JavaScripts zugelassen hat, weil der Autor dort <b> und <p> und noch ein paar ausgewählte Tags nebst CSS zugelassen hat.

Lieber Tom  -  das verstehe ich nicht.

noch mal zur fragestellung:

tom redet von einem system, wo user eigene texteinträge machen können - also beispielsweise in einem forum wie diesem hier, einem board, einer community-lösung wie flirtportalen, etc.

und er will überlegungen anstellen, auf welche fallstricke der programmierer dabei achten muss, um dem benutzer nicht das einschleusen von javascript-code über seine beiträge zu ermöglichen.

Da hatte er übersehen, dass die auch locker ein onLoad oder ein onClick usw. vertragen haben. Das war dann die Sicherheitslücke

Jedenfalls nicht die Kausalität. _weil_ jemand <b> und <p> in seinen HTML-Code einträgt, wird am Ende schädliches Javascript vom Server ausgegeben? Das ist ein mir unerklärliches Phänomen.

der benutzer dieses systems gibt textbeiträge ein, und dabei wurde die benutzung bestimmter HTML-tags wie <b> und <p> zu foramtierungszwecken erlaubt.

da der programmierer aber nicht genug nachgedacht hat, waren in diesen auch eventhandler und damit die ausführung von javascript-code im kontext der anzeigenden seite möglich.

Und du weißt, daß mich mein miserabler "Ruf" in diesem Forum an dieser Stelle zwingen muß, dich mit einem arroganten Hinweis auf

abzuspeisen.

etwas weniger dieser arroganz (und etwas weniger bier) hätten deinem ruf in diesem falle vermutlich besser getan.

gruß,
wahsaga