Показать сообщение отдельно
  #6 (permalink)  
Старый 23.09.2011, 01:53
Профессор
Отправить личное сообщение для DjDiablo Посмотреть профиль Найти все сообщения от DjDiablo
 
Регистрация: 04.02.2011
Сообщений: 1,815

Фреймы это вообще зло. Но иначе html со скриптом тебе не исполнить точно. Даже если на другой странице открыть скрипт, куки всё равно могут уплыть )) или вирусяку тебе впарят. Короче сомнительно что это будет чем-то лучше фрейма.

===========================
Если включить фантазию.
===========================
Можно придумать две линии обороны.
1) скрипт noXSS.js. - будет включаться в каждый фрейм. И препятствовать использованию опасных методов. Как ? Да хрен его знает как. Наверное перегружать стандартные методы, то есть вместо опасных методов браузера будут вызываться методы пустышки из noXSS.

2) Можно перед вставкой кода, в фрейм проверять его на запрещённые команды, и если такие обнаружены выдавать предупреждение, и невставлять скрипт в фрейм.

Вроде решили вопрос с статически подключёнными фреймами скриптами, и кодом в самом фрейме.
Но есть два способа обойти эту защиту.

1) Можно динамически загрузить удалённый зловредный скрипт. Который нейтрализует noXSS. Тут наверно есть смысл отслеживать запросы из фрейма (если возможно конечно).

2) Можно через таймер запусти функцию нейтрализатор, и выполнить зловредные действия.

Я думаю это можно едва ли небесконечно продолжать, а если это то то ))) Это лишь мои домыслы конечно, но и они небесполезны. Посмотрим что предложат форумчане.

Что касается этого форума, то тут помоему дела обстоят не лучше.
__________________
Лучше калымить в гандурасе чем гандурасить на колыме

Последний раз редактировалось DjDiablo, 23.09.2011 в 01:57.
Ответить с цитированием