[pyar] script genérico para actualizar archivos html

Pablo Ziliani pablo en kultroom.com
Lun Jul 12 17:11:59 ART 2010

Mensaje anterior: [pyar] script genérico para actualizar archivos html
Próximo mensaje: [pyar] script genérico para actualizar archivos html
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Roberto Alsina wrote:
> On Monday 12 July 2010 16:28:25 Pablo Ziliani wrote:
>   
>> Creo que estás equivocado desde el vamos. No tenés que borrar los tags 
>> que puedan ser parte de un ataque. El tipo de ataque va a variar 
>> indefectiblemente, y vos vas a seguir estando vulnerable. Tenés que 
>> borrar (o escapar) TODOS los tags, eventualmente exceptuando aquellos 
>> que vos realmente sepas que son inofensivos (normalmente con los de 
>> formateo de texto alcanza y sobra: <strong><em> y <br>).
>>     
>
> Y nunca se olviden 	que las regexp no son la solución a este problema:
>
> http://stackoverflow.com/questions/1732348/regex-match-open-tags-except-xhtml-
> self-contained-tags/1732454#1732454

Interesante, divertido y revelador.

De todas maneras intuyo [sin la más remota intención de alguna vez 
probarlo] que el hecho de que las regexes no puedan *parsear* 
correctamente un cacho de html no les impide dejarlo eunuco. Puede 
fallar, decía Tusam.

Mensaje anterior: [pyar] script genérico para actualizar archivos html
Próximo mensaje: [pyar] script genérico para actualizar archivos html
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list