Hallo
Zitat von
BenBE:
Der einzige Angriff wäre also möglich, wenn man dem User die Möglichkeit gibt, JEGLICHES CSS anzugeben.
Das habe ich nicht ganz verstanden. DU meinst, es wäre riskant, wenn GeSHI CSS-Code in die Seite integriert, sodass der Browser dies interpretiert?
Das ginge ja nur mittels
HTML-Tags und die werden sowieso durch
htmlspecialchars() umgewandelt. Und angenommen, CSS ließe sich "ausführen", was sollte daran so gefährlich sein (vorausgesetzt,
HTML kann nicht "ausgeführt" werden)?
Grüße