Sicherheitslücke in APEX-Anwendung
geschrieben von:
ebu (---.netz.sbs.de)
Datum:
Hallo zusammen,
ich habe folgendes Problem in APEX: ich habe Dateneingabemasken, in denen Texte hinterlegt werden können. Diese werden in den Reports / Anzeigemasken auf der Oberfläche angezeigt. Es besteht die Möglichkeit, in diese Eingabefelder auch javaskript markierten Code einzugeben. Dieser wird durch den Browser interpretiert und kann zu Manipulationen an der Seite oder den Daten führen.
Ich habe zwar das Problem gelöst, so dass der eingegebene Text (auch wenn es HTML-Code ist) auch nur als Text angezeigt und nicht interpretiert wird.
Jetzt suche ich aber nach einer Möglichkeit, den eingegebenen Text schon im Eingabefeld zu prüfen und falls es ein Code ist, der ein Skript ausführt, soll er abgefangen werden. HMTL-Codes wie z.B. Formatierungsangaben ( <b>; <li>) dürfen aber interpretiert werden, damit der Text auch richtig erscheint.
Hat jemand eine Idee wie ich das lösen könnte?? Bin dankbar für jeden Tipp.
Danke jetzt schon...