[Bug] Entities worden soms wazig omgezet - Stoute bugs

zaterdag 6 augustus 2011 11:17

Acties:

Topicstarter

Soms gebeuren er rare dingen bij het omzetten naar entities. Dit bijv. gaat goed:

code:

1	<script>alert('xss')</script>

En dit (plaatje):

Wordt:

code:

1	fdsa” onload=”alert(1);” />

zaterdag 6 augustus 2011 13:01

Acties:

crisp

Devver

Pixelated

omdat ” != " (en ” zit niet in de standaard ISO-8859-15 characterset die wij gebruiken)

Intentionally left blank

zaterdag 6 augustus 2011 16:29

Acties:

bindsa

Topicstarter

crisp schreef op zaterdag 06 augustus 2011 @ 13:01:
omdat ” != " (en ” zit niet in de standaard ISO-8859-15 characterset die wij gebruiken)

Ok helder

zaterdag 6 augustus 2011 22:14

Acties:

crisp

Devver

Pixelated

In andere woorden: sommige software (text-processors e.d.) heeft er een handje van om gewone quotes te vervangen door de zogenaamde 'smart quotes'. Dat het daarmee syntactisch geen geldige code meer is is misschien nog wel erger dan het feit dat dergelijke karakters - door het feit dat wij helaas nog geen UTF8 gebruiken - door de browser al omgezet worden naar entiteiten. Aan onze kant kunnen wij niet meer zien of het daadwerkelijk letterlijk als entiteit was bedoelt of dat het om een door de browser omgezet karakter gaat.

We willen ooit nog wel de overstap maken naar UTF8, maar zoals je zult begrijpen is dat niet echt triviaal. Tot dan is het dus een 'can't fix' en is het zaak extra goed op te letten met het copy/pasten van code en te controleren of o.a. quote-karakters wel gewone ANSI-quotes zijn

Intentionally left blank