FAQ  •  Suchen  •  Download  •  Lesezeichen  •  Mitgliederliste  •  Benutzergruppen   •  Registrieren  •  Profil  •  Einloggen, um private Nachrichten zu lesen  •  Login Possible cross site scripting issue with HTML enabled Nächstes Thema anzeigen Vorheriges Thema anzeigen phpBB2.de Foren-Übersicht » Allgemeines » Nachrichten / News Mainpage » Possible cross site scripting issue with HTML enabled Autor Nachricht stefan Administrator Anmeldungsdatum: 02.08.2002 Beiträge: 4735 Wohnort: Aachen Verfasst am: Mi 13 Aug, 2003 20:57   This message was posted today at www.phpbb.com Code: For those people operating phpBB with HTML enabled we have been notified by Marvin Massih of a possible cross site scripting issue. It will affect primarily those who have enabled the <a> (anchor tag) but it may impact certain other tags too depending on what functionality they offer. The problem occurs because users may enter "javascript:" within a given url ... which can of course be used to grab local cookie (for example) information from the client. At this time we advise everyone with HTML enabled to remove the a tag from the list of allowed tags (Admin Panel -> General -> Configuration -> Allowed tags). There really is no reason to allow the anchor tag anyway, BBCode provides appropriate functionality for linking. We will continue looking at potential solutions to this but it isn't necessarily a straightforward issue to solve without impacting the very functionality the <a> tag can give you (same applies to any other tag that may be affected). Of course our advice remains, as it always has, to only enable HTML if you positively, absolutely have no alternative. There are various BBCode Mods available here and elsewhere which offer the functionality of a number of common HTML tags ... while reducing considerably the risk of layout and privacy issues. _________________ Bye Stefan Styles Demo Forum :: Download Database :: phpBB2 Plus 1.5x Demo phpBB2 Toplist :: International phpBB2 Support Anwesend - Back in Business Kein Support per PM - No Support via PM Google Verfasst am: lolmän phpBB2.de User Anmeldungsdatum: 24.07.2003 Beiträge: 183 Verfasst am: Mi 13 Aug, 2003 21:02   und das auf deutsch zusammengefasst? _________________ stefan Administrator Anmeldungsdatum: 02.08.2002 Beiträge: 4735 Wohnort: Aachen Verfasst am: Mi 13 Aug, 2003 21:58   Entweder HTML ganz abschalten oder mindestens den <a> (anchor tag) nicht erlauben wegen eines moglichen Sicherheitsrisikos. Bye Stefan _________________ Bye Stefan Styles Demo Forum :: Download Database :: phpBB2 Plus 1.5x Demo phpBB2 Toplist :: International phpBB2 Support Anwesend - Back in Business Kein Support per PM - No Support via PM Beiträge der letzten Zeit anzeigen:   Alle Beiträge1 Tag7 Tage2 Wochen1 Monat3 Monate6 Monate1 Jahr  Die ältesten zuerstDie neusten zuerst  phpBB2.de Foren-Übersicht » Allgemeines » Nachrichten / News Mainpage » Possible cross site scripting issue with HTML enabled  Gehe zu:  Forum auswählenphpBB2.de Foren-Übersicht|--Allgemeines|   |--Nachrichten / News Mainpage|   |--Knowledge Base Ankündigungen / Announcements|--phpBB2 Plus 1.5|   |--phpBB2 Plus 1.5 Support - German|   |   |--Ankündigungen (Nur lesen)|   |   |--Installation / Upgrade|   |   |--Mods & Co.|   |   |--Support allgemein|   |   |--Themes|   |   |--phpBB2 Plus 1.53 Beta|   |   |   |--Plus 1.53 Beta Ankündigung / Download|   |   |   |--Plus 1.53 Beta Installation/Upgrade|   |   |   |--Plus 1.53 Beta Support|   |   |   |--Plus 1.53 Beta Bug-Reports|   |--phpBB2 Plus 1.5 Support - English|   |   |--Announcements|   |   |--Installation / Upgrading|   |   |--Mods & Co.|   |   |--Support Forum|   |   |--Themes|   |   |--phpBB2 Plus 1.53 Beta|   |   |   |--Plus 1.53 Beta Announcements / Download|   |   |   |--Plus 1.53 Beta Installation/Upgrade|   |   |   |--Plus 1.53 Beta Support|   |   |   |--Plus 1.53 Beta Bug-Reports|--phpBB2.x|   |--phpBB2.x - Ankündigungen|   |--phpBB2.x - Anleitungen / FAQs|   |--phpBB2.x - Installation|   |--phpBB2.x - Support|   |--phpBB2.x - Diskussion|   |--phpBB2.x - Webspace / Provider|--phpBB2.x - MODs|   |--phpBB2.x - Released Final MODs|   |--phpBB2.x - Alpha/Beta MODs|   |--phpBB2.x - MOD Support|   |--phpBB2.x - MOD Request|--phpBB2.x - Styles|   |--phpBB2.x - Released Styles|   |--phpBB2.x - Styles Support|   |--phpBB2.x - Show off|   |--phpBB2.x - Buttons, Logos, Banner|--phpBB2.x - English Language|   |--phpBB2.x - English phpBB2.x Talk|   |--phpBB2.x - English MOD Support|   |--phpBB2.x - English Style Support|--Technik|   |--Coding|--Sonstiges|   |--Test-Forum|   |--Smalltalk|   |--Download Announcements|   |--Trash  Nächstes Thema anzeigen Vorheriges Thema anzeigen Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen. Du kannst Dateien in diesem Forum nicht posten Du kannst Dateien in diesem Forum nicht herunterladen Ähnliche Beiträge Thema Autor Forum Antworten Verfasst am Html aktivieren, ich noob -.- Hunter Support allgemein 1 Di 05 Mai, 2009 06:57 HTML wird nicht angezeigt! MasterNick phpBB2.x - Support 3 Di 12 Aug, 2008 17:38 Trojan file from site??? cheeze Support Forum 1 Fr 18 Apr, 2008 21:11 downloading from galnonstat.com when ... JOligario Support Forum 10 Mi 09 Apr, 2008 18:55 html mod kompatibel??? chicken-joe Support allgemein 0 Do 21 Feb, 2008 14:27