Jamen, det _skal_ da være sådan! Det kan du heldigvis ikke forhindre - og det er alt andet end et sikkerhedsproblem. Hvis du oplever det som et sikkerhedsproblem, er det dine kodevaner, der er noget helt galt med =)
Hvis jeg nu har en dropdown, hvor jeg gerne vil have folk til at vælge noget. Men scriptet kan man "tømme" listen og lave et input felt. Hvorefter man kan indtaste hvad man vil. Det kan jo ikke altid være hensigten.
Jeg kan sagtens lave det helt om, men da nu lige er stødt på dette, vil jeg lige høre om man kan gøre noget ved det.
Løsningen er at validere sine input serverside (ASP/PHP), hvilket man desuden skal gøre alligevel, da der findes brugere, som har deaktiveret JS fuldstændig.
Der sker intet ved at brugeren laver nok så meget om i en sides kode. Sikkerhed kan/må du _kun_ deale med på serveren. Alle bruger-inputs skal valideres på serveren - og alle værdier skal chekes for, om de indeholder noget i det forventede format
Jeg kan se at man egentlig ikke har kontrol over hvad der sker clientside. Jeg har altid regnet med at hvis man "rensede" alt hvad en bruger kunne taste ind, så det ikke ville indeholde javascript, var nok.
Men det er jo så ikke i den grad. My bad... Nu skal jeg bare se om jeg ikke kan finde den bedste løsning.
Selvtak. Iøvrigt har du måske lagt mærke til, jeg altid skriver mit navn i 'tags' i det første indlæg i en tråd. Det gør jeg faktisk med en Favorit, der ligger i Hyperlinks-baren på min IE. I stedet for et link, indeholder den et JavaScript, der skrive min 'signatur' ind i sidens beskedfelt.
Prøv f.eks. at lave dette link i et dokument: < herf="java script:document.getElementsByName('message')[1].value='<ole>\r\n\r\n\r\n\r\n/mvh\r\n</bole>';void(0)">OleBole BookMarkLet</a>
Kast dokumentet i en browser og højreklik på linket. Vælg 'Gem som Favorit...' - og klik OK på advarslen, der fremkommer ... du ved jo, hvad du gør og scriptet er ikke farligt ;o)
Hvis du på en Eksperten-spørgsmåls-side vælger denne favorit, vil du se, den indskriver min signatur i besked-feltet.
Arhhh ... er det meta-keyword eksemplet i artiklen? Hvis det er tilfældet, så skyldes det, at mange ikke kommaseparerer deres keywords - men blot bruger et mellemrum =)
-- et af de gode eksempler på, at det virkeligt er nyttigt at bruge den slags er f.eks. tidsstempler, f.eks. '13-04-2007 16:27:15', som kan splittes direkte med .split(/[- :]/)
Jamen, det er jo helt oplagt! Nåja ... hjernen er sådan en dejlig én at sidde på. Der er lige en halvdel til hver balle - og en hypofyse i midten til at tage den værste brise ;oD
Pludselig kommer jeg min eks's råd ang. snorkende mænd i hu: "Vend ham om på ryggen og spred hans ben. Så falder løgene ned og dækker for hullet - hvorved gennemtrækken stoppes ... voilá!" ;o)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
