# Prüfen ob JavaScript in HTML-Datei verwendet wird



## Jockel (7. Jun 2005)

Hm, keine Ahnung in welches Forum ich das posten soll, also habt Nachsicht ;- ) Zumal dies keine 'wirkliche' JavaScript-Frage ist.

Ich habe folgendes 'Problem': Ich habe eine Webanwendung, in welcher der User auch HTML-Dateien hochladen darf, ähnlich wie bei ebay die Artikelbeschreibung. Nun möchte ich vor dem Hochladen der HTML-Datei überprüfen, ob sich JavaScript-Code darin befindet (und für den Fall das dem so ist, das Hochladen verweigern). Nur wie mache ich das am besten?
Da ich mal davon ausgehe, dass es keine Java-Klasse gibt, die mir da weiter helfen könnte, überprüfe ich zur Zeit einfach, ob in der HTML-Datei der String 'Javascript' vorkommt. Gibt es eine Möglichkeit JavaScript-Code in HTML einzubetten, ohne < script language="javascript"> zu verwenden? Oder hat irgendwer irgendwelche praktikablen Lösungsansätze für mein Problem, die wirklich 'sicher' sind?


----------



## Bleiglanz (7. Jun 2005)

wirklich sicher dürfte schwer sein (das language attribut kann man ohne weiteres weglassen ...)

ALLE script-tags (unabh. von der Language)

ALLE Attribute ala onMouseOver usw. 

ALLE attribute, bei denen "javascript:" am Anfang steht (betrifft auch a href)

usw.


----------



## Sky (7. Jun 2005)

Erzähl doch mal den Hintergrund... vielleicht ist es ja möglich, dass Du nur plain-Text zulässt und Dir daraus eine HTML-Seite generierst. Oder warum brauchst Du unbedingt HTML???


----------



## Jockel (7. Jun 2005)

Zum Hintergrund: User sollen Artikel in das System einstellen können und die Möglichkeit haben, diese individuell zu gestalten. 

Ich dachte auch schon daran, vordefinierte Tags, wie z.B. hier im Board zur Verfügung zu stellen, allerdings ist das ein erheblicher Mehraufwand, zumal der Nutzer ja auch z.B. Tabellen, etc. nutzen können soll.

Mit 'wirklich sicher' habe ich mich gestern abend etwas ungenau ausgedrückt. Ich möchte eigentlich nur verhindern, dass jemand 'schädlichen' Code mittels JavaScript einfügen kann. Aber scheinbar komme ich wohl um vordefinierte Tags nicht herum, oder?


----------

