• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

softklin

Um problemazito de segurança no output de feeds

3 mensagens neste tópico

Boas pessoal.

Estou a desenvolver um site, e como um extrazito, resolvi disponibilizar os comentários sob forma de RSS ou xml.

A página responsável por executar o output do RSS vai à BD e recolhe as frases e respectiva informação, data/hora, etc... O problema é que na base de dados os caracteres estão sob a forma de entities, com a função html_entities.

Ao fazer output para o browser, normalmente (em ser por xml) dá bem, o problema é quando passo para xml, fica o á e similares... Ou seja, erro de xml: entidade indefinida. Então, uso a função html_entity_decode para voltar a ter os acentos...

E (finalmente...) o problema: se eu enviar como comentário <script>alert("ah ah ah owned!")</script> no html fica como está escrito, sem nenhum alerta de javascript, mas no xml (uma vez que faço decode à string), define-me um nó <script> com o conteudo  alert(....)...  :D

Alguma dica para dar um fix nisto?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sim, por acaso também tinha visto isso à pouco... Só que no body resulta, nos titulos não  :D

Para testar as feeds, estou a usar o thunderbird e o firefox... Tenho que ver melhor isto...

obrigado, já me ia esquecendo :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora