Ответ

erkin 14.08.2010 13:51

Должен сказать, что Parser достаточно гибок, и мне даже не приходится, частенько, задумываться над такими понятиями как валидно это или нет. Все автоматически правильно интерпретируется. Но все-таки, я думаю, было бы логично включить в таблицу HTML/HTML-optimized комбинации спецсимволов отдельно. А то из-за того, что в тексте встречаются такие комбинации весь кусок приходится помечать как as-is, т.е. открывается лазейка для взломов.
Было бы хорошо иметь возможность самому расширять таблицу taint/untaint или, еще лучше, вводить custom таблицы преобразований.
Но это в том случае если taint/untaint позволяет "парсить" не только на уровне отдельных символов, но и на уровне сочетаний символов.

Предложение разработчикам. По поводу taint/untaint, erkin 13.08.2010 19:16
- Ответ, G_Z [M] 16.08.2010 05:13 / 16.08.2010 05:18
  - Ответ, erkin 16.08.2010 12:17
- Переходите на utf-8 и не будет никаких проблем..., Sumo [M] 13.08.2010 19:40
  - Ответ, erkin 13.08.2010 22:18
    - Ответ, max_rip 14.08.2010 17:03
    - <title> -- тоже валидная конструкция, как и <script>js XXS js-код</script>, Misha v.3 [M] 14.08.2010 03:50
      - Ответ, erkin 14.08.2010 13:51
        Забацай себе операторы как вариант..., Newbie 14.08.2010 21:47 / 14.08.2010 21:47
        моё мнение: вы не очень хорошо разобрались в предназначении taint-инга и как это работает., Misha v.3 [M] 14.08.2010 15:42
    - Еще раз, " " - это не символ, а таинт эскейпит именно символы., Sumo [M] 13.08.2010 22:38
      - Ответ, erkin 14.08.2010 13:32

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум