Autor Thema: HTML Injection, wie verhindern?  (Gelesen 1252 mal)

Offline Raymond

  • Aktives Mitglied
  • ***
  • Beiträge: 111
  • Geschlecht: Männlich
  • who notes?
    • Who Notes
HTML Injection, wie verhindern?
« am: 09.02.07 - 13:22:07 »
Hallo AtNotes Community

gibt es eine Möglichkeit, den Befehl "?OpenFrameset" zu limitieren?

Folgendes Szenario:

Ich habe eine Website mit 3 Frames. Der Hauptframe heisst "content". In den WebLaunch Options der DB wird auf ein Frameset "fsMain" verwiesen und beim normalen Öffnen der Db wird das Frameset korrekt im Browser angezeigt.

Jetzt könnte jemand mit böser Absicht  >:D hingehen, und mit dem URL Command

"http://www.meineSeite.com/meineDb.nsf/fsMain?OpenFrameset&Frame=content&src=http://www.evil.com/index.html"

eine "falsche" Seite im Frame "content" anzeigen, ohne das dies ein Enduser bemerken würde. Lässt sich dies irgendwie verhindern?

Gruss und besten Dank für Antworten/Ideen

Ray
aktuelle Versionen:
Lotus Notes/Domino 7
Lotus Notes/Domino 8.5

dabei seit Lotus Notes 4.x

Offline Raymond

  • Aktives Mitglied
  • ***
  • Beiträge: 111
  • Geschlecht: Männlich
  • who notes?
    • Who Notes
Re: HTML Injection, wie verhindern?
« Antwort #1 am: 09.02.07 - 13:43:34 »
Zur Eränzung. ch habe das Problem mit 6.5.2. Meine bisherige Recherche hat ergeben, dass sich mit 6.5.4 Fix Pack 1 das Problem lösen lässt:

http://www-1.ibm.com/support/docview.wss?uid=swg21211961

Dann gibt es offenbar der Ini-Parameter: DominoValidateFramesetSRC=1

Gruss
Ray
aktuelle Versionen:
Lotus Notes/Domino 7
Lotus Notes/Domino 8.5

dabei seit Lotus Notes 4.x

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz