Forums / National / Russian / Cotonti 0.9.24 Beta

Браузер даже и не знает что конкретно сгенерировало тот или иной участок HTML-кода. Он просто получает готовую страницу с кодом разметки, скриптами и стилями и выполняет все, что там есть. Как и что обрабатывать решает движок. Задача недопустить внедрения на страницу нежелательного кода и недопущения в т.ч. XSS-атак - задача движка.  Поля в которых допусимо хранить HTML и потом выводить его "как есть" перед сохранением обрабатываются HtmlPurifier'ом, который из HTML убирает все лишнее. Тут у обычных пользователей может быть более строгий фильтр, у админов более мягкий. Все остальны текстовые поля, сохраняются "как есть" но при выводе обрабатываются функцией htmlspecialchars(), которая превращает HTML-верску и скрипты в обычный текст заменяя специальные символы HTML-сущностями. Это не дает сломать верстку, вставив туда "левый" HTML код и не даст выполнить "левые" скрипты.

По этому, если куда то надо вставить именно HTML код - надо использовать поле которое работает с HTML.

В админке, например, правила таких проверок менее строгие, т.к. обычным пользователям туда доступа нет, и там отвественность админа.

Названия страниц и тем на форуме еще раз перепроверю, как только закончу с этим. Но там не должно быть проблем, т.к. их заметили бы давно.