Das Notes Forum

Domino 9 und frühere Versionen => ND6: Entwicklung => Thema gestartet von: Raymond am 09.02.07 - 13:22:07

Titel: HTML Injection, wie verhindern?
Beitrag von: Raymond am 09.02.07 - 13:22:07: Hallo AtNotes Community

gibt es eine Möglichkeit, den Befehl "?OpenFrameset" zu limitieren?

Folgendes Szenario:

Ich habe eine Website mit 3 Frames. Der Hauptframe heisst "content". In den WebLaunch Options der DB wird auf ein Frameset "fsMain" verwiesen und beim normalen Öffnen der Db wird das Frameset korrekt im Browser angezeigt.

Jetzt könnte jemand mit böser Absicht >:D hingehen, und mit dem URL Command

"http://www.meineSeite.com/meineDb.nsf/fsMain?OpenFrameset&Frame=content&src=http://www.evil.com/index.html"

eine "falsche" Seite im Frame "content" anzeigen, ohne das dies ein Enduser bemerken würde. Lässt sich dies irgendwie verhindern?

Gruss und besten Dank für Antworten/Ideen

Ray
Titel: Re: HTML Injection, wie verhindern?
Beitrag von: Raymond am 09.02.07 - 13:43:34: Zur Eränzung. ch habe das Problem mit 6.5.2. Meine bisherige Recherche hat ergeben, dass sich mit 6.5.4 Fix Pack 1 das Problem lösen lässt:

http://www-1.ibm.com/support/docview.wss?uid=swg21211961

Dann gibt es offenbar der Ini-Parameter: DominoValidateFramesetSRC=1

Gruss
Ray

SMF 2.0.19 | SMF © 2020, Simple Machines | Bedingungen und Regeln