Domino 9 und frühere Versionen > ND6: Entwicklung

HTML Injection, wie verhindern?

(1/1)

Raymond:
Hallo AtNotes Community

gibt es eine Möglichkeit, den Befehl "?OpenFrameset" zu limitieren?

Folgendes Szenario:

Ich habe eine Website mit 3 Frames. Der Hauptframe heisst "content". In den WebLaunch Options der DB wird auf ein Frameset "fsMain" verwiesen und beim normalen Öffnen der Db wird das Frameset korrekt im Browser angezeigt.

Jetzt könnte jemand mit böser Absicht  >:D hingehen, und mit dem URL Command

"http://www.meineSeite.com/meineDb.nsf/fsMain?OpenFrameset&Frame=content&src=http://www.evil.com/index.html"

eine "falsche" Seite im Frame "content" anzeigen, ohne das dies ein Enduser bemerken würde. Lässt sich dies irgendwie verhindern?

Gruss und besten Dank für Antworten/Ideen

Ray

Raymond:
Zur Eränzung. ch habe das Problem mit 6.5.2. Meine bisherige Recherche hat ergeben, dass sich mit 6.5.4 Fix Pack 1 das Problem lösen lässt:

http://www-1.ibm.com/support/docview.wss?uid=swg21211961

Dann gibt es offenbar der Ini-Parameter: DominoValidateFramesetSRC=1

Gruss
Ray

Navigation

[0] Themen-Index