[HaBo]
| Webmaster-Security Fragen zur richtigen Serverkonfiguration oder Absicherung dynamischer Scripte gehören hier hinein. |
Frame sicherheit
Diskussion: Frame sicherheit im Forum Webmaster-Security, in der Kategorie Security Area; Anzeige Ich verwende auf meiner seite ein javascript mit dem man ein dynamischen iframe erzeugen kann. Code: showframebox('./help.html') Das ding ...
 |
27.12.06, 07:00
| #1 (permalink) |
| Registriert seit: 15.01.05  Likes: 0 |  Frame sicherheit Anzeige Ich verwende auf meiner seite ein javascript mit dem man ein dynamischen iframe erzeugen kann. Code: showframebox('./help.html') Reicht es wenn ich in JS in der funktion ueberpruefe obs was lokales ist oder muss da ne loesung in php her ("Token system")? Hatte bei js an sowas gedacht: Code: if(url.indexOf('./')!=0) return false; |
|  |
|
27.12.06, 13:53
| #2 (permalink) |
| Moderator  Registriert seit: 14.02.06     Likes: 21 |  Das kommt drauf an, wie und wo das JavaScript aufgerufen wird. Solange sich das nicht aus Formulareingaben oder URL-Parametern generiert, ist die Wahrscheinlichkeit zumindest gering, dass man da via XSS-Angriff was reißen kann. Prinzipiell taugt dein Prüfcode Code: if(url.indexOf('./')!=0) return false; [EDIT] Externe URLs sollten natürlich auch rausfliegen, also eigentlich auch alles mit "://" im Pfad. |
|
| |
| HaBOT | - Anzeige - |
|
|
27.12.06, 18:28
| #3 (permalink) |
| Themenstarter Registriert seit: 15.01.05 Likes: 0 | Danke, werde ich so machen |
|
| |
|
15.03.07, 10:00
| #4 (permalink) |
| Member of Honour   Registriert seit: 22.02.07 Likes: 77 | Hi, kleine Zwischenbemerkung: ich kenn jetzt dein Projekt nicht, um genau beurteilen zu können, wie nötig du dein JavaScript brauchst, aber:[list=1][*]JavaScript und SICHER?[*]Es gibt tatsächlich auch Leute, deren Paranoia sie berechtigter Weise dazu veranlasst, JavaScript in ihrem Browser zu deaktivieren ;-)[/list=1] Also am besten nur so viel wie nötig und so wenig wie möglich nutzen! Achso, nochwas: Frames benutzt du auch nur so lange, bis du selber mal ne Zeit lang auf's Surfen mit Lynx und co. angewiesen bist :-) Ich persönlich bevorzuge PHP-Lösungen. |
|
| |
|
15.03.07, 15:49
| #5 (permalink) |
| Themenstarter Registriert seit: 15.01.05 Likes: 0 | JS muss nicht unsicher sein. -> nonintrusive js (oder wie man das nennt) wenn kein js aktiviert ist gibts halt kein framepopup sondern eine reguläre seite. Da freut sich dann auch lynx.  (Auch wenns einige nicht mögen) Willkommen zum Web 2.0 |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » Webmaster-Security » Frame sicherheit
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Frame-Analogie mit DIV? | Hackse | (Web-) Design und webbasierte Sprachen | 10 | 01.08.06 13:47 |
| C++ Fenster ( Frame ) | c++frankie | Code Kitchen | 4 | 08.04.06 21:00 |
| Frame gleichbleibend | Dreamer | (Web-) Design und webbasierte Sprachen | 16 | 24.03.06 14:54 |
| Thema Sicherheit - Wieviel Sicherheit brauche ich überhaupt | Schlaflos | (In)security allgemein | 7 | 03.08.04 01:07 |
| Frame mit JS erstellen | mido | (Web-) Design und webbasierte Sprachen | 2 | 04.07.02 11:52 |
