ку
в прошлой версии подсветки, при запуске выполняемого JS он вроде бы выполнялся на отдельном же домене, для избежания кражи кук?! А в новой версии такого не наблюдается. было бы неплохо поправить |
Да ну не только для кражи кук. Можно ведь всякую другую гадость делать. Не скажу какую на всякий случай :)
|
да, я думаю, все и так прекрасно понимают, чем грозит незакрытая XSS
|
Код запускается в рамках текущей страницы. Это бывает очень удобно, особенно для записей в блогах, демок и т.п.
С другой стороны, это действительно может быть небезопасно. Теперь при запуске JS/HTML будет выводиться предупреждение (отключаемое). Об XSS речи нет, т.к. код запускается непосредственно посетителем, при нажатии на кнопку. |
Цитата:
он публикуется для того чтобы показать возможность самостоятельного кода, а не по отношению к данному сайту так, что стоит вые-таки запускать для построннего домена Цитата:
Цитата:
|
Цитата:
В принципе, есть одна идея. Можно сделать окно с другого домена и передавать ему код для eval через кросс-доменное общение между окнами: postMessage. Для iframe можно постить код на сервис, который будет в ответ выдавать страничку с кодом. Что думаете? Насколько это будет удобно? |
Реализовал выполнение на отдельном домене. К сообщению добавил стили.
|
Илья, в Опере 10.53 сообщение не появляется, код не выполняется. :(
|
CTRL-F5 ? CTRL-R ?
alert('Код') <b>HTML</b> |
Opera 10.53
полет нормальный Спасибо большое) |
Часовой пояс GMT +3, время: 08:56. |