|
|
 |
Результаты опроса: Стоило ли переходить на новую подсветку?
|
|
|
Нет
|
  
|
0 |
0% |
|
Да
|
  
|
0 |
0% |
|
Да, но можно бы улучшить (опишу в топике)
|
  
|
0 |
0% |
|
11.06.2010, 16:44
|
 |
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 5,650
|
|
ку
в прошлой версии подсветки, при запуске выполняемого JS он вроде бы выполнялся на отдельном же домене, для избежания кражи кук?!
А в новой версии такого не наблюдается.
было бы неплохо поправить |
|
11.06.2010, 16:47
|
|
Новичок на форуме
|
|
Регистрация: 19.02.2008
Сообщений: 8,754
|
|
Да ну не только для кражи кук. Можно ведь всякую другую гадость делать. Не скажу какую на всякий случай  |
|
11.06.2010, 16:52
|
|
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 5,650
|
|
|
да, я думаю, все и так прекрасно понимают, чем грозит незакрытая XSS
|
|
12.06.2010, 22:09
|
 |
Администратор
|
|
Регистрация: 25.05.2007
Сообщений: 1,046
|
|
|
Код запускается в рамках текущей страницы. Это бывает очень удобно, особенно для записей в блогах, демок и т.п.
С другой стороны, это действительно может быть небезопасно.
Теперь при запуске JS/HTML будет выводиться предупреждение (отключаемое).
Об XSS речи нет, т.к. код запускается непосредственно посетителем, при нажатии на кнопку.
|
|
12.06.2010, 22:26
|
|
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 5,650
|
|
|
Сообщение от Илья Кантор
|
|
д запускается в рамках текущей страницы. Это бывает очень удобно, особенно для записей в блогах, демок и т.п.
|
разве код в форме для этого публикуется???!!!
он публикуется для того чтобы показать возможность самостоятельного кода, а не по отношению к данному сайту
так, что стоит вые-таки запускать для построннего домена
|
Сообщение от Илья Кантор
|
|
Теперь при запуске JS/HTML будет выводиться предупреждение (отключаемое).
|
очень фигово выводится
|
Сообщение от Илья Кантор
|
|
Об XSS речи нет, т.к. код запускается непосредственно посетителем, при нажатии на кнопку.
|
это все равно XSS соглсно моему определеию, и определению wiki |
|
12.06.2010, 23:00
|
|
Администратор
|
|
Регистрация: 25.05.2007
Сообщений: 1,046
|
|
Сообщение от Gvozd
|
разве код в форме для этого публикуется???!!!
он публикуется для того чтобы показать возможность самостоятельного кода, а не по отношению к данному сайту
так, что стоит вые-таки запускать для построннего домена
|
Хочется запускать код в рамках единого окна. Чтобы можно было разбивать пример на несколько блоков кода и т.п.
В принципе, есть одна идея. Можно сделать окно с другого домена и передавать ему код для eval через кросс-доменное общение между окнами: postMessage.
Для iframe можно постить код на сервис, который будет в ответ выдавать страничку с кодом.
Что думаете? Насколько это будет удобно? |
|
13.06.2010, 11:58
|
|
Администратор
|
|
Регистрация: 25.05.2007
Сообщений: 1,046
|
|
|
Реализовал выполнение на отдельном домене. К сообщению добавил стили.
Последний раз редактировалось Илья Кантор, 13.06.2010 в 12:12.
|
|
13.06.2010, 12:50
|
 |
Профессор
|
|
Регистрация: 03.04.2009
Сообщений: 1,263
|
|
Илья, в Опере 10.53 сообщение не появляется, код не выполняется.  |
|
13.06.2010, 13:52
|
|
Администратор
|
|
Регистрация: 25.05.2007
Сообщений: 1,046
|
|
CTRL-F5 ? CTRL-R ?
alert('Код')
<b>HTML</b>
Последний раз редактировалось Илья Кантор, 13.06.2010 в 14:04.
|
|
13.06.2010, 14:20
|
|
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 5,650
|
|
|
Opera 10.53
полет нормальный
Спасибо большое)
|
|
|
|
