Hallo Dirk, Am 29.08.2011 11:59, schrieb Wenzel Dirk: > Hallo, > > bei der Arbeit an einer Extension habe ich mir folgende Fragen gestellt: > 1. wie kann man Benutzereingaben in Formularen gegen Cross-Site-Scripting > absichern.
dazu reicht ein htmlspecialchars. HTMLpurfier macht aber wesentlich mehr da es eben gezielt tags erlaubt usw > 2. wie kann man für sauberes HTML sorgen, wenn im Eingabefeld HTML erlaubt > sein soll. wenn gewisse tags errlaubt sind, dann ist der htmlpurifier sicherlich richtig. > Wenn ich es richtig verstehe, ist strip_tags() eigentlich nur dann sicher, > wenn _keinerlei_ tags erlaubt werden. (Sicher bin ich mir da allerdings > nicht). strip_tags kann nicht verwendet werden, um content sicher zu machen > 1. Gibt es Ansätze, htmlpurifier in Typo3 zu integrieren (als Extension oder > in den core). Ich konnte dazu nichts finden. Leider gibt es dazu noch keine Ansätze, aber cool wär das sicherlich. Auch das Security Team würde das begrüßen! Wer hat Lust / Laune / Zeit? Das ganze wäre sicherlich auch möglich teilw. zu bezahlen... lg Georg _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
