Scriptorama.nl

Vandaag op Alistapart vond ik een interessant artikeltje dat zich voornamelijk richt op de beheerders van community sites. Deze sites, maar ook veelal forums, staan je toe om op de een of andere manier de layout te wijzigen. Zij implementeren dat dan veelal doormiddel van het style attribuut. Het artikeltje wijst er op dat je juist dan erg moet opletten voor security problemen, zelfs als je denkt dat je de meest voorkomende problemen al te pakken hebt:

Thanks to IE’s predilection for executing JavaScript, many communities are left vulnerable. IE will accept and execute the following code:

[…] style="background:url(javascript:alert(document.cookie))” […]

It’s bad if a browser executes JavaScript from style tags, because many communities don’t validate this input—they simply take the input, strip single and double quotes, and print it out.

Aan het eind van het artikel vind je een handige checklist van dingen die je kunt nagaan om dit soort problemen te voorkomen.

Alistapart: Community Creators, Secure Your Code!