Javascript.RU

Форум

 Учебник Node.JS скринкаст Стандарт языка

Справочник

Discord чат

  
Статьи Тест знаний Аналоги функций PHP

Курсы javascript

  Сообщения за день

Создать новую тему Ответ
Страница 1 из 2 1 2 >
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 25.01.2012, 11:25
Аспирант
Отправить личное сообщение для qwertyuiop10 Посмотреть профиль Найти все сообщения от qwertyuiop10 		 
Регистрация: 29.09.2011
Сообщений: 42

Безопасность и динамические фреймы
Есть легкий «полигон». Смысл в том, что написаный html в textarea загружается в ифрейм:

<html>
<head>
</head>
<body>
<div class="a" onClick="cvf();">&gt;&gt;&gt;Посмотреть,&nbsp;что&nbsp;получилось&gt;&gt;&gt;</div>
<form action="" name="cod">
<textarea>
</textarea>
</form>
<iframe src="javascript:parent.document.cod.elements[0].value" id="mf"></iframe>
<script type="text/javascript">
function cvf(){
document.getElementById('mf').contentWindow.location.reload();
}
</script>
</body>
</html>


Вопрос: это же опасно? Если я этот код вставлю на свой сайт, человек сможет делать запросы к серверу избегая Same origin policy. Если это опасно, то как можно защититься, если не опасно, то почему никто так не делает?
Последний раз редактировалось qwertyuiop10, 25.01.2012 в 11:29.
Ответить с цитированием
  #2 (permalink)  
Старый 25.01.2012, 11:30
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj 		 
Регистрация: 19.02.2008
Сообщений: 9,177

Он сможет вставить любой код у себя в браузере. А у себя в браузере он и так через консоль что угодно на вашем сайте сделать может.
Ответить с цитированием
  #3 (permalink)  
Старый 25.01.2012, 11:48
Аватар для Nekromancer
Профессор
Отправить личное сообщение для Nekromancer Посмотреть профиль Найти все сообщения от Nekromancer 		 
Регистрация: 06.05.2009
Сообщений: 1,163

Сообщение от qwertyuiop10
если не опасно, то почему никто так не делает?
Может потому, что это просто ужасно?
__________________
Нужно равняться на лучших, а не оправдываться за счёт худших.
Ответить с цитированием
  #4 (permalink)  
Старый 25.01.2012, 12:21
sinistral
Посмотреть профиль Найти все сообщения от melky 		 
Регистрация: 28.03.2011
Сообщений: 5,418

извините, не увидел никакой опасности. что в этом фрейме такого страшного?
Ответить с цитированием
  #5 (permalink)  
Старый 25.01.2012, 12:42
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj 		 
Регистрация: 19.02.2008
Сообщений: 9,177

Сообщение от qwertyuiop10
то почему никто так не делает?
А зачем это делать?
Ответить с цитированием
  #6 (permalink)  
Старый 25.01.2012, 13:19
Аспирант
Отправить личное сообщение для qwertyuiop10 Посмотреть профиль Найти все сообщения от qwertyuiop10 		 
Регистрация: 29.09.2011
Сообщений: 42

Nekromancer,
Например здесь запускаемый код, можно так сдеделать, не будет обращения к серверу, фрейм будет появляться мгновенно. Почему именно, это плохо?
Ответить с цитированием
  #7 (permalink)  
Старый 25.01.2012, 13:22
Аспирант
Отправить личное сообщение для qwertyuiop10 Посмотреть профиль Найти все сообщения от qwertyuiop10 		 
Регистрация: 29.09.2011
Сообщений: 42

Kolyaj,
ну да, точно. не подумал...
Ответить с цитированием
  #8 (permalink)  
Старый 25.01.2012, 13:22
Аватар для Nekromancer
Профессор
Отправить личное сообщение для Nekromancer Посмотреть профиль Найти все сообщения от Nekromancer 		 
Регистрация: 06.05.2009
Сообщений: 1,163

qwertyuiop10,
Я не понимаю ваш язык.
__________________
Нужно равняться на лучших, а не оправдываться за счёт худших.
Ответить с цитированием
  #9 (permalink)  
Старый 25.01.2012, 13:29
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj 		 
Регистрация: 19.02.2008
Сообщений: 9,177

Сообщение от qwertyuiop10
Например здесь запускаемый код
Здесь написанный кем-то код запускается у других пользователей. В вашем примере такого нет.
Ответить с цитированием
  #10 (permalink)  
Старый 25.01.2012, 13:36
Аспирант
Отправить личное сообщение для qwertyuiop10 Посмотреть профиль Найти все сообщения от qwertyuiop10 		 
Регистрация: 29.09.2011
Сообщений: 42

Nekromancer,
На этом сайте есть возможность вставлять запускаемый код. Почему бы её не реализовать способом, указанным мной? Небыло бы лишнего обращения к серверу и код был бы проще. Ещё - xiper.net, в справочнике css есть полигон внизу страници, описывающей какое-либо свойство. Почему его не реализовать таким образом? Я думаю, что если так не делают, значит есть какие-то существенные недостатки. Какие?
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >

« Как сохранить действие? | Заморозить свойства объекта Windows »


Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
вложенные фреймы Леночка Элементы интерфейса 13 20.05.2012 11:05
Динамические формы. ака Выпадающие списки :) sochinec Общие вопросы Javascript 5 18.04.2012 17:19
Фреймы и document Почемучкин Events/DOM/Window 11 09.12.2011 12:46
Как заставить jQuery считать динамические объекты append'a "на лету"? walabyn jQuery 2 08.09.2011 12:07
Чат vochat и фреймы Abaza Работа 2 02.11.2009 14:40


© Илья Кантор, 2007-2021 О проекте - Обратная связь - Архив форума - Вверх