توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : عدم encode داده های ورودی از ادیتور
emad_67
01-24-2009, 08:18 PM
سلام
چرا مامبو داده های ورودی از ادیتور رو encode نمیکنه؟ اینجوری خطر XSS وجود نداره؟
توی قسمت html ادیتور اگر یه تگ script بزارید دقیقا همون اجرا میشه تو صفحه در حالی که به نظرم باید داده ها کد گذاری بشن و بعد تو دیتابیس ذخیره شن.
شما شاید تنظیمات ادیتور رو تغییر دادید.
تگ های مجاز و خصیصه های مجاز برای برخی تگ ها رو میشه در ادیتور تنظیم کرد که نمایش داده بشه یا بلاک بشه.
ضمنا اسکریپت های جاوا هم همینطور هستند و اکثرا با ادیتور ***** می شن. برای همین هست که دوستان گاهی توصیه می کنند برای قرادادن اسکریپت های جاوا اسکریپت ، در صورتی که اعتماد دارند قبلش ائیتور رو غیر فعال کنند.
یا علی
emad_67
01-25-2009, 05:39 PM
بله درسته، تو تنظیمات قسمت اسکریپت روی بله بود.
ممنون حواسم نبود چک کنم.
با تشکر
plusboy
01-26-2009, 04:33 PM
با سلام. ببخشید که اینجا می پرسم.
اما XSS چیه؟
و ما دقیقا چی کنیم که خطری وجود نداشته باشه.؟
mhadaily
01-26-2009, 04:38 PM
با سلام
XSS چیست ? (<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b>)
پیروز باشید
vBulletin® v4.2.5, Copyright ©2000-2026, Jelsoft Enterprises Ltd.