а что вообще за чат такой?

О!!! Ответь, пожалуйста, как это ты смог устоять??? Другая операционка? Спецовый плагин к какой-нибудь опере, или модный файерволл, о котором я ещё не знаю????? А как насчёт всех остальных скриптов - выдерживаешь, нет???

Да,скинь адресок.Потестировать.

Адрес чата скинуть не могу - боюсь, припрётся толпа, и начнёт его ломать с ещё большим энтузиазмом. Типо, практика для детсада. А что до страничек - вот их адрес: dad-ie.narod.ru, но ведь проблема-то не в том, чтобы от СТРАНИЦ блокирнуться, а проблема в том, что через чат проходит практически любой скрипт\настройки - вплоть до изменения общего фона в чате, ну там, искажение фона и прочих игрушек. Так что увы. Как я уже понимаю, сейчас проблема стоит тока в броузере.

Я бы посоветовал попробовать отключать показ картинок в браузере. Потому что большя часть Xss на этом и строится как раз. Вспомните пример взлома Чата мэйл.ру от скальпеля. Чтобы защититься от того конкретного примера, можно было просто отключить графику

Это бы не спасло ...
Картинка там загружалась посредством яваскрпта, а не только через стандартный img src ...
Образно говоря, броузер "не знал" что загрузит ... Можно было бы впинуть скрипт через любой обработчик (онклик не рационален =) )

Согласен.
Не только через картинку можно вставить сниффер

Нафига что-то опровергать если не уверен в своей правоте, или если вообще не понимаешь о чем идет речь
Диман
не важно как на странице появляется картинка. если отключена графика, то ничего не получится. попробуй сам в IE. в мозиле не знаю можно убирать картинки или нет. то же самое относится к атрибуту style со значением backgrpund

KEZ
во-первых я написал что это просто один из вариантов. Во-вторых через картинки на самом деле произвоодится бОльшая часть xss-атак. А лучше сам научи как защитить клиент от той атаки, если адрес чата не распространяется.

Да, коллега, полностью с вами согласен.. картинки - это далеко не выход, а этому летнему джазисту можно пожелать от души идти и играть джаз. Надеюсь, в музыке он больше шарит.
ИТАК, КОЛЛЕГИ. ЧТО Я ОБНАРУЖИЛ ЗА ПРОШЕДШИЕ ВЫХОДНЫЕ.
Мысль была настолько проста, что я успел обозвать сам себя кретином очень много раз... В общем. На чате орудуют ничем иным, как java-scriptom. У Netscape 476, как у очень древней версии, поддерживающей и пытающейся продвинуть свои собственные стандарты (не будем забывать, это то далёкое время, когда Netscape был королем, и пытался трепыхаться с каким-то своим стандартом) ОН ПРОСТО НЕ ИМЕЕТ ПОДДЕРЖКУ ДЖАВА СКРИПТОВ КАК ТАКОВЫХ - ВООБЩЕ.
А если в дополнительных свойствах ИЕ отключать джава-скрипты. то всё-равно ничего не получается. Однако... если взять Мозиллу.... файерфокс скажем... Или даже оперу (кстати, удивительно уёбищный броузер, такая дутая реклама, и такой обрез на возможностях) то.. Проблема решается!!!! Ураа!!! Седлай коня, дорогая, решение я нашёл, скоро вернусь домой с войны. Ан нет. С ПОДДЕРЖКОЙ РУССКИХ ШРИФТОВ И КОДИРОВОК У ОПЕРЫ И ФАЙЕРФОКСА - ПОЛНАЯ ЖОПА. Ну, вообще то есть. Есть спецовые проги для оперы. для файерфокса. Но всё-равно остаются пару косых, которые лично я вообще не могу подправить!!!!! Увы.. это уже обсуждение для другой темы форума..... Спасибо всем тем, кто ответил. вы подарили мне массу размышлений... если кто-то знает ещё какие-нибудь способы защиты. пожалуйста. пишите сюда. Очень буду признателен.