Hello,

Sofern Serverzugriff (z.B. per FTP) besteht: überall. In jedem beliebigen öffentlich erreichbaren Verzeichnis.

FTP-Zugang besteht i.d.R. nicht.
Man lädt eben über ein Uploadformular seinen Text, seine Bilder und ggf. auch Formatierungen hoch.
Aber selbst bei Bulletin-Systemen mit eigenem Formatierungscode ist es manchmal möglich, den String <script> in der Ausgabe zu erzeugen. Das reicht dann i.d.R. schon, um ein Script zu aktivieren.

Auch <meta ...> wäre eventuell tödlich.

Die Idee mit einer kleinen Walpurgis-Teufelei ist zwar nett, aber diesmal nicht die meine ;-)

Nö. So einfach isses denn auch nicht.

Was ist nicht so einfach? Die Tags rauszufiltern?

Es gab ein System, dass diverse JavaScripts zugelassen hat, weil der Autor dort <b> und <p> und noch ein paar ausgewählte Tags nebst CSS zugelassen hat. Da hatte er übersehen, dass die auch locker ein onLoad oder ein onClick usw. vertragen haben. Das war dann die Sicherheitslücke, diverse andere Dinge, bis hin zur Cookie-Entführung (auch den Session-Cookie des jeweiligen Besuchers der Seite) durchzuführen. Ich habe das System seinerzeit nachgebaut und den Betreiber gewarnt. Erst hat er gar nicht gewusst, was ich von ihm wollte...

Harzliche Grüße aus http://www.annerschbarrich.de

Tom