Alle externen Sourcen (src) aus HTML entfernen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Alle externen Sourcen (src) aus HTML entfernen

    Hallo Leute,

    ich lasse den Inhalt von HTML-Emails im Browser anzeigen.

    Zur Sicherheit möchte ich alle Java-Script und fremde Source blocken.

    Jetzt habe ich folgenden Code
    PHP-Code:
    $str=preg_replace('#(src)="([^:"]*)("|(?:(?:%20|\s|\+)[^"]*"))#','',$html_body()); 

    Es werden auch brav alle Sourcen entfernt. Nur wie bekomme ich es hin, das nur die Sourcen entfernt werden, die nicht auf dem gleichen Server liegen?

    Müsste ich außer Java-Script und SRC-Elemente noch etwas entfernen, was die Sicherheit/ Datenschutz gefährden kann?

    Vielleicht fällt euch dazu was ein.....

    Besten Dank!

  • #2
    CSS Expressions IE. Ganz böse! Ansonsten google mal nach SafeHTML, damit kannst du viele mögliche Schwachstellen beseitigen.

    Peter
    Zuletzt geändert von Kropff; 18.12.2009, 10:23.
    Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
    Meine Seite

    Kommentar


    • #3
      im a-Tag kann xss stehen
      img td table tr meta body nahezu alles
      siehe auch
      XSS (Cross Site Scripting) Cheat Sheet

      Außerdem was machst du wenn jmd z.b sowas schreibt
      Code:
      <img srsrc="javascript:alert('asda');"c="javascript:alert('asda');"
      Daraus macht dein Code dann
      Code:
      <img src="javascript:alert('asda');"
      Und schon wäre deine Sicherung in 1 Sekunde umgangen.

      Außerdem ist ohne den Modifier i dein Code eh sinnlos
      Zuletzt geändert von Yoshi-; 21.12.2009, 21:49.

      Kommentar

      Lädt...
      X