Datenschutzerklärung

HTML-Sonderzeichen bei Ausgabe der Server-Header nicht maskiert

Validome - Forum

 Startseite Validome
RSS 2.0  
Sie sind nicht angemeldet. Atom 1.0  
Forum Home / Bug-Reports / Fehlermeldungen /

HTML-Sonderzeichen bei Ausgabe der Server-Header nicht maskiert

   Beitrag schreiben
Autor
Beitrag Seiten: 1
Chiaki
Mitglied

Ort: Confoederatio Helvetica
Registriert: 23.12.2007
Beiträge: 97
Hallo,

gerade fällt mir auf, daß die Daten der Server-Header nicht auf (X)HTML-Sonderzeichen überprüft und selbige demnach nicht entsprechend für die XHTML-Ausgabe maskiert werden.

Folgender Header wird also 1:1 in die XHTML-Ausgabe des Validators übernommen:

Code:

Reply-To: Webmaster <webmaster@rfc1855.net>

Firefox meckert da natürlich mit einem XML-Verarbeitungsfehler, da in XHTML keine unmaskierten < und > auftreten dürfen:

Code:

XML-Verarbeitungsfehler: nicht wohlgeformt
Adresse: http://www.validome.org/validate/?uri=http://www.rfc1855.net/&extended=1&viewHeaderData=1
Zeile Nr. 40, Spalte 2092:

Test-URL zur Validation und Fehlerreproduktion:
http://www.validome.org/validate/?uri=http://www.rfc1855.net/&extended=1&viewHeaderData=1

Grüße, Chiaki

Beitrag geändert von Chiaki (18.01.2008 08:41:39)

_______________________________________
Make sure You've read RFC 1855, before sending electronic mail,
start Chats, posting on Newsgroups or leave any Comments.
RFC 1855: Netiquette Guidelines <http://www.rfc1855.net/>
17.01.2008 23:23:44
http://www.rfc1855.net/ Zitieren
HTMELL
Administrator

Registriert: 11.05.2006
Beiträge: 544
Hi,
vielen Dank für den Heiweis, ist bereits gefixt ;-)

_______________________________________
mfg
Thomas Mell

www.validome.org
18.01.2008 20:03:18
  Zitieren
Gurkenpapst
Mitglied

Registriert: 03.10.2007
Beiträge: 31
Nette XSS-Schwachstelle. Ich habe da mal etwas gestochert und noch was gefunden: Der im HTTP-Header übermittelte Charset-Parameter wird ungefiltert ausgegeben, wenn er von Validome nicht verarbeitet werden kann:


Die Umwandlung der Zeichenkodierung von "übermittelter String steht hier" nach "UTF-8" kann zur Zeit nicht durchgeführt werden, da diese nicht unterstützt wird!
22.01.2008 00:28:18
  Zitieren
HTMELL
Administrator

Registriert: 11.05.2006
Beiträge: 544
Hi,
...und im Content-Type ist das selbe Problem, ebenso in allen Meldungen in denen der Charset oder Content-Type vorkommt.. jetzt aber nicht mehr ;-))

_______________________________________
mfg
Thomas Mell

www.validome.org
22.01.2008 14:05:42
  Zitieren
Seiten: 1   Beitrag schreiben
Wechsel zu

Die letzten Beiträge aus diesen Forum

Valid HTML 4.01