nicht angemeldet
Problem bei der Nutzung von window.name zur Wertübergabe
0 0 0 
MudGuard
Problem bei der Nutzung von window.name zur Wertübergabe
Die Javascript-Wertübergabe zwischen verschiedenen HTML-Dokumenten mittels window.name zur client-seitigen Wertübergabe zwischen Formularen oder zum Nachladen von Framesets (Iframes) etc. birgt folgendes Problem: Wenn man das window.name-Property auf einer Seite gesetzt hat, und der Nutzer dann zu der vorherigen Seite in der History navigiert, dann kann diese sowohl die Daten mit ihren eigenen überschreiben, d.h. korrumpieren, als auch, was noch erheblich problematischer ist, auslesen und ggf. an ein CGI-Skript etc. schicken. Fazit: Es muss sehr deutlich davor gewarnt werden, auf diese Weise irgendwelche sicherheitsrelevanten (Benutzer-)Daten oder URLs zu übergeben.
-
Hi,
Fazit: Es muss sehr deutlich davor gewarnt werden, auf diese Weise irgendwelche sicherheitsrelevanten (Benutzer-)Daten oder URLs zu übergeben.
das wäre ein absoluter Usability-Killer. Fazit: Du musst Dir etwas anderes zur Werteübergabe überlegen.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
Hi,
dann kann diese sowohl die Daten mit ihren eigenen überschreiben, d.h. korrumpieren,
Anmerkungen:
1. Alleine schon weil der IE die Daten ohnehin wieder überschreibt, wenn bereits ein Fenstername vergeben war (Stichwort: TARGET), ist es eigentlich selbstverständlich, sich nicht auf die dortigen Daten zu verlassen. :-o
2. Geht er Zugriff nur mit JavaScript. Wenn Du dich aber von JS abhängig machst, machst Du was verkehrt. ;->
Es muss sehr deutlich davor gewarnt werden, auf diese Weise irgendwelche sicherheitsrelevanten (Benutzer-)Daten oder URLs zu übergeben.
3. Wer solche Techniken auch nur im Zusammenhang mit "Sicherheit" andenkt, der hat IMHO ein krudes Verständnis von Sicherheit! =:-)
Gruß, Cybaer
--
Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"! -
Hi,
Die Javascript-Wertübergabe zwischen verschiedenen HTML-Dokumenten mittels window.name
Wie bitte?
window.name hat einen bestimmten Zweck (target).
Wer das für irgendetwas anderes - egal was - mißbraucht, macht schon einen gewaltigen Fehler.zur client-seitigen Wertübergabe zwischen Formularen oder zum Nachladen von Framesets (Iframes) etc. birgt folgendes Problem:
Die Ursache des Problems ist bekannt: Mißbrauch von window.name.
Fazit: Es muss sehr deutlich davor gewarnt werden, auf diese Weise irgendwelche sicherheitsrelevanten (Benutzer-)Daten oder URLs zu übergeben.
Fazit: es muß sehr deutlich davor gewarnt werden, Dinge für etwas anderes zu benutzen als für das, wofür sie vorgesehen sind.
cu,
Andreas--
Warum nennt sich Andreas hier MudGuard?
Schreinerei Waechter
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
-
Hi,
Die Javascript-Wertübergabe zwischen verschiedenen HTML-Dokumenten mittels window.name
Wie bitte?Tu doch nicht so unwissend! Ich vermute doch stark, daß Du den entsprechenden selfArtikel auch kennst?! Ansonsten bit Du als Nutzer des selfHTML-Forums gerne eingeladen, dir die selfHTML-Artikel mal durchzulesen! ;-)
Wer das für irgendetwas anderes - egal was - mißbraucht, macht schon einen gewaltigen Fehler.
Jo: Dogmatismus vs. Kreativität 1:0 >;->
Fazit: es muß sehr deutlich davor gewarnt werden, Dinge für etwas anderes zu benutzen als für das, wofür sie vorgesehen sind.
Steht in jeder Bedienungsanleitung drin (zumindest in der US-Version). Wer halt meint, sein bestes Stück in das Staubsaugerrohr stecken zu müssen, muß halt mit möglichen Gefahren leben ... >;->
Gruß, Cybaer
--
Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!-
Hi,
Die Javascript-Wertübergabe zwischen verschiedenen HTML-Dokumenten mittels window.name
Wie bitte?Tu doch nicht so unwissend! Ich vermute doch stark, daß Du den entsprechenden selfArtikel auch kennst?! Ansonsten bit Du als Nutzer des selfHTML-Forums gerne eingeladen, dir die selfHTML-Artikel mal durchzulesen! ;-)
Selbstverständlich kenne ich den Feature-Artikel von v. Hatzfeld, gerade deswegen habe ich das hier gepostet, weil darin nirgends die Rede von den Gefahren diese Methode ist... Das hier ist auch mehr eine Newbie-Warnung als alles andere, ich selbst bin der Meinung, dass man diesen Artikel ganz schnell vergessen sollte.
Wer das für irgendetwas anderes - egal was - mißbraucht, macht schon einen gewaltigen Fehler.
Jo: Dogmatismus vs. Kreativität 1:0 >;->
Fazit: es muß sehr deutlich davor gewarnt werden, Dinge für etwas anderes zu benutzen als für das, wofür sie vorgesehen sind.
Steht in jeder Bedienungsanleitung drin (zumindest in der US-Version). Wer halt meint, sein bestes Stück in das Staubsaugerrohr stecken zu müssen, muß halt mit möglichen Gefahren leben ... >;->
Gruß, Cybaer
-
Hi,
ich selbst bin der Meinung, dass man diesen Artikel ganz schnell vergessen sollte.
Und meine Meinung: Ich *bevorzuge* diesen Weg der Datenübergabe - aus den verschiedensten Gründen! Allerdings stehe ich ja bekanntermaßen auch auf dem Standpunkt, sich nicht von clientseitiger Technik abhängig zu machen. Diese eigentlich existentielle Grundbedingung aber ohnehin voraussetzend, sehe ich keine Probleme bei dieser "mißbräuchlichen Verwendung". Schlimmstenfalls kannst Du Daten nicht verwenden, die Du ggf. gar nicht hättest, was zu Bedenken halt ohnehin die Aufgabe eines Webdesigners ist. ;-}
Den Artikel betrachte ich also als vielleicht unvollkommen, aber sinnvoll. Und wie IHMO bei allen Artikeln und Hinweisen: Es erübrigt sich nicht das Einschalten des eigenen Hirns. ;-)
Gruß, Cybaer
--
Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
-
-
-