Termékhozzászólás

A következő hibaüzenetet kaptam amikor valaki hozzászólást írt egy termékemhez.
A következő linken megtaláljátok:
http://www.shirleywebshop.hu/Elasztikus_4_darabos_szobalany_szett

Mi lehet a hiba oka?

Termék hozzászólás

A hozzászólásba írt script dobja az ablakot, egyelőre töröltük ezt a bejegyzést, felmérjük a helyzetet és megtesszük a további szükséges lépéseket.

Gutheil Zsolt
(fejlesztő)

XSS

Ez azert tortent, mert az oldalad ugy van beallitva, hogy az alapertelmezett beviteli mod a "Full HTML". Ezzel az a baj, hogy az alaprtelmezett beviteli mod mindenki szamara elerheto.
[Adminisztráció][Webhely beállítása][Beviteli formák]
Mint a neve is mutatja ez teljesen szabad kezet ad. Ide barmi beirhato, amit egy bongeszo ki tud ertekelni, tobbek kozott javascript is. Ez XSS tamadasra adhat lehetoseget egy rosszindulatu specialisan felepitett termekkommenttel.
Javaslom, hogy a "Full HTML" beviteli modot csak az admin csoportnak engedelyezd.

Udv,
Gy.