On Wed, 27 Oct 1999, Serge Shikov wrote:
> > <OBJECT>, <SCRIPT>. С лёгкостью.
> И что? Это в HTML браузер как бы обязан <SCRIPT> выполнять, да и то,
> если захочет. А в XML никто никому и ничего не обязан.
Вот именно: если захочет. IE в последнее время так хочет, что и не
оторвёшь ему это хотение. И Шкаф тоже по умолчанию выполняет. И с XML то
же будет, нес па?
> Даже если ворд напихает в XML всякой фигни (теоретически-то хранить
> можно что угодно) - кто заставит мой LotusXSL хоть как-то
> интерпретировать тэги <script language"VBScript">? Содержимое тэгов -
> это не более чем текст. А его интерпретация - это мое личное дело, какой
> стиль напишу, так и будет. Напишу в XSL <OBJECT> игнорировать - и пойдут
> они лесом, далеко-далеко... А захочу - будет JavaScript исполнять, и
> Java тоже. Все в наших руках. Так что теорерически вирус конечно
> возможен, но практически, если перед применением немного подумать над
> этим - вероятность близка к нулю. На сегодня у меня если где и
> встречается JavaScirpt - так это внутри стилей, XSL то есть, но их же
> пишу я, а не неизвестно кто. В XML же в лучшем случае встречается SQL,
> примерно в таком виде:
>
> <SQL connect="база данных" user="scott" password="tiger">
> select * from table where тра-ля-ля
> </SQL>
>
> А это вполне безопасно.
А ты уверен, что ты вырезаешь из клиентских XML'ей _всё_ потенциально
опасное содержимое? Что то, что ты оставляешь, существующие браузеры не
могут попытаться исполнить сейчас, и не начнут этого делать, никому ни
слова не говоря, через 2 месяца?
--
Artem Chuprina E-mail: ran@pirit.com
Network Administrator FIDO: 2:5020/371.32
PIRIT Corp. Phone: +7(095) 115-7101
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
