Webbrowser textarea bepaling - Client software algemeen

vrijdag 20 juni 2008 21:45

Acties:

Topicstarter

Hoi, ik heb een vraagje. Hoe weet een webbrowser het verschil tussen de inhoud en de eigenlijke HTML van een textarea. Bijvoorbeeld:

HTML:

<textarea >

</textarea> <script> alert("hoi") </script> <textarea>

</textarea>

Waarbij het midden zelf ingevoerd is. Als je dit als html opslaat, krijg je keurig een berichtje met hoi. Maar in een webbrowser zelf wordt dit niet getriggerd, ook niet als de server het opslaat. Hoe kan dit?

vrijdag 20 juni 2008 21:55

Acties:

crisp

Devver

Pixelated

Omdat het dan waarschijnlijk HTML-encoded in de bron van je pagina staat:

HTML:

<textarea >

&lt;/textarea&gt; &lt;script&gt; alert(&quot;hoi&quot;) &lt;/script&gt; &lt;textarea&gt;

</textarea>

Intentionally left blank

vrijdag 20 juni 2008 21:58

Acties:

TRON

crisp schreef op vrijdag 20 juni 2008 @ 21:55:
Omdat het dan waarschijnlijk HTML-encoded in de bron van je pagina staat:
HTML:
1
2
3
4
5
<textarea >

&lt;/textarea&gt; &lt;script&gt; alert(&quot;hoi&quot;) &lt;/script&gt; &lt;textarea&gt;

</textarea>

Het enige juiste antwoord crisp

ikkuhqhp, lees eens wat over cross-site-scripting (afgekort: XSS) en je leert een aantal interessante oplossingen cq mogelijkheden.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

zaterdag 21 juni 2008 11:31

Acties:

ikkuhqhp

Topicstarter

Ja, ik heb het nog eens nagekeken en jullie hebben gelijk. Het is die Firebug extensie die ik gebruik om sourcecode te bekijken, en die geeft HTML specialchars niet goed weer.