不支持html是无趣的,支持html是危险的
aspnetforums2.0支持Html编辑器,可以加入很多精彩的内容,无疑是一件很爽的事情,但是对于想搞破坏的人来说可能产生一些恶意的代码。今天试着检测了一下aspnetforums2.0的安全性,首先我用在博客园使用的检测方法来试,发现只有iframe有效,不过这已经够了,利用Iframe,我可以在iframe里面加上任意恶意的代码。后来继续检测了一下样式表的脚本,后来还是让我发现了一个让我ie死了n次的恶意脚本,呵呵
<style>
body{
expression:expression(alert('welcome to aspnetforums2.0\nI am dotey:P\nonly a joke!'));
}
</style>
慢慢完善,应该还是可以做到很安全的:)除我试的那几种外,应该还有几种可以产生破坏的方法,就不试了。我也应该好好考虑一下该怎么样来过滤这些不安全的代码!
可能有人要问:这些代码是怎么弄到html编辑器里面的?html编辑器不是不能直接写html代码的么?
呵呵,还是不告诉你的好!
我还是喜欢支持html的论坛和博客!