Disable javascript i en bestemt blok ?
Er det muligt at disable browserens javascript-evner i en blok (div f.eks.) ?Mit problem er, at jeg giver mine brugere mulighed for at oprette "rich content" sider vha. CK-editor - som jo leverer en blok valid XHTML. XHTML som siden vises for andre brugere - og som, hvis den indeholder ondsindet javascript, let kan eksponere læserens "hemmeligheder" for forfatteren (hackeren) - såsom session/cookie og andre browser-data, åbne skjulte frames til ondsindede sites.. hvadsomhelst.
Det er MEGET vanskeligt (umuligt) at vaske XHTML'en så den slags numre forhindres 100%.
- se hvormange kendte "vektorer" der er her: http://ha.ckers.org/xss.html
Så min idé var at det måske var muligt at forhindre ALT script-eksekvering i den blok hvor den bruger/hacker-leverede XHTML vises...
Sådan at browseren viser XHTML'en som den er (ikke-ondsindet XHTML indeholder aldrig script) og deaktiverer "event-scripts" tilknyttet elementer (onmouseover, omload...) og selvfølgelig heller ikke tillader at XHTML'en inkluderer/eksekverer deciderede scripts.
Noget ala:
<div id="brugerPage"><scriptOFF>
mistænkelig HTML
</scriptOFF></div>
