Hallo/schädliche_Umleitung?daten,

Auf dem Server werden die Eingaben noch einmal überprüft. Aber ist das nicht zu spät für Cross-Site Scripting mit JavaScript?

Cross-Site-Scripting edfolgt mittels eines Roundturns zwischen Client und Server. Dazu ist kein JavaScript erforderlich. Durch fehlendes Escaping beim Kontextwechsel auf dem Server (aus Formulardaten wird ungeprüft eine Response erzeugt) entsteht ein schädlicher Link. Wird dieser dann aktiviert ("angeklickt") landen die Daten bei einem gefälschten Ziel.

Das verwendete Pattern ist auch nur vorläufig. Verbesserungsvorschläge werden gerne genommen! Oder reicht auch [^script] oder Ähnliches?

Es reicht im ersten Schritt zu verarbeitende oder zu respondierende Formulardaten mit der passenden Escapefunktion zu behandeln, also den vorgesehenen Kontextwechsel zu beachten.

Sollen aus Formulardaten Skriptteile gemacht werden, hilft ein passender Parser, der nur erlaubte Elemente zulässt. Mit RegEx würde das schnell unübersichtlich.

LG
localhorst