Vlákno názorů k článku ČSOB podcenila zabezpečení svého webu od gdg - Ze zapisniku pentestera .. var {5:y,2:q,1:z,4:u,3:r,0:w}=”velart”}[0][z+w+r+q](r+q+z+u+y)(123) ([0][’eval’])([{$:’alert(0)’}.$][0]) eval(/alert(1)/[-1]) 0..eval(location.hash) ... URL obsahuje...
-
LOL :), jak se na to dívám
http://ha.ckers.org/xss.html
tak to vidím jednoduše na reg. výraz. Člověk by musel zakázat tolik věcí, a stejně to nebude zdaleka vše. Ten reg. bude rozhodně jednodušší. -
Jinak, opravdu je lepší cesta jen povolit nezbytné, než "lepit" díry.
Pokud má být někde čistý anglický text (navíc bez teček a dalších věcí, jen samotná písmenka a mezery), nevidím důvod proč proměnnou nepřetypovat na string a pak zkusit, jestli vyhovuje reg. výrazu "a-zA-Z " a jestli ne, tak vyhodit chybu a NEvypsat řetězec, kde je chyba, ale jen nějakou obecnou hlášku.
