19 мая 2007 в 11:49
не силен в атаках через всякие инъекции, просто хотелось бы узнать, какие теги лучше запретить в фильтрах ввода не в ущерб функциональности? на сайте стоит TinyMCE, и сейчас возникла реальная угроза, что его будут пытаться сломать
Комментарии
Инъекции в html отношения не имеет - это атака на БД.
С точки зрения безопасности можно разрешить все теги оформления, но осторожнее с table и div - безопасность не пострадает, но дизайн может расползтись.
Однозначно запретить встраивание объектов (кроме img).
HTML Injection refers to injecting HTML code into a web servers response to alter the content to the end user. - по первой ссылке в гугле... я в общем-то это и имел в виду, а не атаку на базу данных