Javascript in HTML verhindern

[Raven280438]

Hi,

ich benutze in einem Formular den WYSIWYG-Editor whizzywig.

HTML-Code ist also zugelassen. Wie kann ich aber am besten verhindern, dass Javascript eingeschleust wird? Nur die <script>-Tags zu blocken reicht ja nicht, weil die Event-Handler auch Javascript ausführen.

Hat jemand eine Idee?



Gruß

 

[Gumbo]

Du müsstest die Eingabe parsen und nicht erlaubte Elemente und Attribute entfernen.

 

[Raven280438]

Ok,

reicht es dann wenn ich alle "<script" "on[xxx]" und "javascript:" rausfilter? Oder gibt es für Javascript ausser noch andere Möglichkeiten ausgeführt zu werden?



Gruß

 

[Gumbo]

Nein, das reicht nicht. Es sollte besser mit einer Weißen Liste statt einer Schwarzen Liste gearbeitet werden.