[Erledigt] HTML5 Schreibweisen

drsoong · 20.06.2010, 12:31

Ich lese in meinem neuen HTML 5 Buch, dass folgende Varianten alle
valides HTML 5 darstellen.

Code:

<input type="checkbox" checked="checked" >
<input type="checkbox" checked="checked" />
<input type="checkbox" checked >
<input type=checkbox checked >
<input type=checkbox checked=checked >
<input tYpE=cHecKboX cHeCked >

Was seht Ihr für Pros und Cons für die Schreibweisen? Ist die XHTML - Variante (mit enstprechendem Doctype) an zweiter Stelle am sinnvollsten (wenn auch nicht am einfachsten), wenn es um Sicherheit geht z. B. bei XSS Attacken und natürlich um zweifelsfreie Validität zu gewährleisten.

Manko10 · 20.06.2010, 12:38

Was hat das mit HTML5 zu tun? Das sind auch alles Schreibweisen, die in HTML 4.01/XHTML 1.0 auch schon gültig sind. Die ersten beiden sind schlicht die saubersten, da sie den Code einheitlicher machen, wobei der schließende Slash in der XHTML-Variante natürlich Geschamckssache sind. Ich bevorzuge sie aber.
Vor allem die letzte Variante ist doch vollkommen sinnloses Gekritzel, von daher verstehe ich die Frage nicht. Die ist übrigens nur in der HTML-Variante möglich (HTML 4.01 oder HTML5, nicht XHTML 1.0 oder XHTML5).

Und vor allem was hat das mit PHP zu tun?
Themenmoderation:
[→] Verschoben von PHP Einsteiger

drsoong · 20.06.2010, 14:15

Manko10: O. K. da hast Du wohl Recht. Öh, mit allem. War etwas schnell geschossen von mir.

Spielt denn ein Sicherheitsaspekt bei Dir keine Rolle bzgl. der Wahl der HTML-Version? Ich denke, wenn viele Schreibweisen valide sind, hat man natürlich auch mehr Möglichkeiten, etwas einzuschleusen, oder?

nikosch · 20.06.2010, 14:20

Eigentlich nicht. Um etwas einzuschleusen gibt es genau genommen nur einen Weg: etwas ungefiltert in den Zeichen"scope" von HTML zu schreiben. Da ist der AUfbau des Tags dann ziemlich Banane..

Manko10 · 20.06.2010, 14:27

Du vergisst zudem, dass HTML eine Spezifikation ist und keine konkrete Implementierung. Die Sicherheitslücken zu implementieren ist somit Aufgabe der Browserhersteller, nicht die des W3C und weiterer Gruppen, die sich mit HTML5 befassen. Natürlich kann eine Spezifikation potentielle Schwachstellen enthalten, aber auch hier sind dann die Browserhersteller gefragt, diese zu umgehen.

nikosch · 20.06.2010, 14:47

Zitat:

Die Sicherheitslücken zu implementieren

Sind die auch spezifiziert

Manko10 · 20.06.2010, 16:37

Naja, Adobe spezifiziert seine Sicherheitslücken jedenfalls. Escape From PDF « Didier Stevens.

drsoong · 20.06.2010, 21:48

Zitat:

Zitat von nikosch

Eigentlich nicht. Um etwas einzuschleusen gibt es genau genommen nur einen Weg: etwas ungefiltert in den Zeichen"scope" von HTML zu schreiben. Da ist der AUfbau des Tags dann ziemlich Banane..

Die Antwort gefällt mir. Ansich habe ich es nämlich nicht so mit dem Superformalismus in XHTML. Sachen wie

Zitat:

checked="checked"

fand ich schon immer Banane. Und diese ewigen Anführungszeichen...Irgendwann hatte ich mir mal einreden lassen, dass XHTML (mit einer ordentlichen Charset-Angabe) sicherer sei. Danke an beide für den Input.

Flor1an · 20.06.2010, 22:16

Ich finde einfach das checked="checked" "schöner" ist. Denn ein HTML Element hat eben Attribute und diese Attribute haben einen Wert. Wir haben hier das Attribut "checked" mit dem Wert "checked". Wenn ich nur "checked" im Quellcode stehen habe, was ist das dann? Da wird vom Browser verlangt das er diesen Text selbstständig als Attribut mit selbigem Wert versteht.

Und sollte man die Seite mal per XML parsen wollen dann hat man eben valides XML. Ich finde es ist einfach sauber!

nikosch · 21.06.2010, 06:40

Wohlgemerkt: Ich habe geschrieben, dass es für die Sicherheit Banane ist! Ansonsten habe ich oft genug Postings gesehen, wo sich gewundert wird, warum

<input type=text value=abc cde>

nicht funktioniert. Stringbegrenzer wegzulassen werde ich also nie empfehlen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
HTML5 + CSS3 schon jetzt ?	drsoong	Off-Topic Diskussionen	20	17.06.2010 08:17
PHP Schreibweisen?	Curcio	PHP Tipps 2009	8	13.09.2009 00:27

20.06.2010, 12:31
drsoong Erfahrener Benutzer Registriert seit: 05.08.2008 Beiträge: 1.127	[Erledigt] HTML5 Schreibweisen Ich lese in meinem neuen HTML 5 Buch, dass folgende Varianten alle valides HTML 5 darstellen. Code: <input type="checkbox" checked="checked" > <input type="checkbox" checked="checked" /> <input type="checkbox" checked > <input type=checkbox checked > <input type=checkbox checked=checked > <input tYpE=cHecKboX cHeCked > Was seht Ihr für Pros und Cons für die Schreibweisen? Ist die XHTML - Variante (mit enstprechendem Doctype) an zweiter Stelle am sinnvollsten (wenn auch nicht am einfachsten), wenn es um Sicherheit geht z. B. bei XSS Attacken und natürlich um zweifelsfreie Validität zu gewährleisten.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

20.06.2010, 12:38
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Was hat das mit HTML5 zu tun? Das sind auch alles Schreibweisen, die in HTML 4.01/XHTML 1.0 auch schon gültig sind. Die ersten beiden sind schlicht die saubersten, da sie den Code einheitlicher machen, wobei der schließende Slash in der XHTML-Variante natürlich Geschamckssache sind. Ich bevorzuge sie aber. Vor allem die letzte Variante ist doch vollkommen sinnloses Gekritzel, von daher verstehe ich die Frage nicht. Die ist übrigens nur in der HTML-Variante möglich (HTML 4.01 oder HTML5, nicht XHTML 1.0 oder XHTML5). Und vor allem was hat das mit PHP zu tun? Themenmoderation: [→] Verschoben von PHP Einsteiger __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

20.06.2010, 14:15
drsoong Erfahrener Benutzer Registriert seit: 05.08.2008 Beiträge: 1.127	Manko10: O. K. da hast Du wohl Recht. Öh, mit allem. War etwas schnell geschossen von mir. Spielt denn ein Sicherheitsaspekt bei Dir keine Rolle bzgl. der Wahl der HTML-Version? Ich denke, wenn viele Schreibweisen valide sind, hat man natürlich auch mehr Möglichkeiten, etwas einzuschleusen, oder?

20.06.2010, 14:20
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Eigentlich nicht. Um etwas einzuschleusen gibt es genau genommen nur einen Weg: etwas ungefiltert in den Zeichen"scope" von HTML zu schreiben. Da ist der AUfbau des Tags dann ziemlich Banane.. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

20.06.2010, 14:27
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Du vergisst zudem, dass HTML eine Spezifikation ist und keine konkrete Implementierung. Die Sicherheitslücken zu implementieren ist somit Aufgabe der Browserhersteller, nicht die des W3C und weiterer Gruppen, die sich mit HTML5 befassen. Natürlich kann eine Spezifikation potentielle Schwachstellen enthalten, aber auch hier sind dann die Browserhersteller gefragt, diese zu umgehen. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

20.06.2010, 16:37
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Naja, Adobe spezifiziert seine Sicherheitslücken jedenfalls. Escape From PDF « Didier Stevens. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

20.06.2010, 22:16
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Ich finde einfach das checked="checked" "schöner" ist. Denn ein HTML Element hat eben Attribute und diese Attribute haben einen Wert. Wir haben hier das Attribut "checked" mit dem Wert "checked". Wenn ich nur "checked" im Quellcode stehen habe, was ist das dann? Da wird vom Browser verlangt das er diesen Text selbstständig als Attribut mit selbigem Wert versteht. Und sollte man die Seite mal per XML parsen wollen dann hat man eben valides XML. Ich finde es ist einfach sauber!

21.06.2010, 06:40
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Wohlgemerkt: Ich habe geschrieben, dass es für die Sicherheit Banane ist! Ansonsten habe ich oft genug Postings gesehen, wo sich gewundert wird, warum <input type=text value=abc cde> nicht funktioniert. Stringbegrenzer wegzulassen werde ich also nie empfehlen. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --