<!–texy–>ale weby už mají docela ochranu tak to jen tak nejde

+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-

<!–texy–>HEHE já s XSS útočím,dost mě to baví :-D

[2] hned ti odpoviem od konca. ochrana neexistuje. ziadny uzasny kod ta nezachrani od CSRF. to je totizto vlastnost samotneho HTTP (RFC 2616). ak mam url http://domena.com/logout? a tato url zabezpecuje odhlasenie, tak poslanim CSRF na tuto url ta logoutne. mozes tam dat aj 139 tokenov a inych serepeticiek, vsetko sa da velmi krasne a celkom jednoducho nasimulovat k plnej spokojnosti.
ako priklad csrf chat obchadzajuci tokeny
http://www.thespanner.co.uk/2008/02/11/csrf-chat/
zle. nie obchadzajuci, ale pouzivajuci. ochrana proti csrf je mozna cez urcite projekty (owasp), ale v tomto momente to povazujem skor za experimentalnu ochranu ako skutocne vyuzitelnu

<!–texy–>[8] zkus to s Texy ;-)) Více info na "forum.texy.info":http://forum.texy.info/viewtopic.php?pid=2325

[6] Myslím, že nemáš pravdu, blíže jsem se na toto téma rozepsal v článku http://www.phpguru.cz/clanky/aplikacni-data.

[8] Pak je na místě kontrolovat, zda je v atributu src zadané platé URL, ať už třeba pomocí regulárních výrazů či pomocí speciálně upravené XSLT šablony.

Nejsem programátor, spíše se PHP jen poslední dobou bavím. Zajímalo by mě, jak ošetřit proti XSS (jeli-to ten útok, možná se pletu) jestliže nevkládá přímo javascript, ale místo toho nějaký podvrh – např. vloží obrázek z jeho serveru, kde ale namísto obrázku je nějaký skript.