Javascript-форум (https://javascript.ru/forum/)
-   Сайт Javascript.ru (https://javascript.ru/forum/site/)
-   -   Перевод подсветки на highlight.js (https://javascript.ru/forum/site/7071-perevod-podsvetki-na-highlight-js.html)

Gvozd 11.06.2010 16:44

ку
в прошлой версии подсветки, при запуске выполняемого JS он вроде бы выполнялся на отдельном же домене, для избежания кражи кук?!
А в новой версии такого не наблюдается.
было бы неплохо поправить

Kolyaj 11.06.2010 16:47

Да ну не только для кражи кук. Можно ведь всякую другую гадость делать. Не скажу какую на всякий случай :)

Gvozd 11.06.2010 16:52

да, я думаю, все и так прекрасно понимают, чем грозит незакрытая XSS

Илья Кантор 12.06.2010 22:09

Код запускается в рамках текущей страницы. Это бывает очень удобно, особенно для записей в блогах, демок и т.п.

С другой стороны, это действительно может быть небезопасно.

Теперь при запуске JS/HTML будет выводиться предупреждение (отключаемое).

Об XSS речи нет, т.к. код запускается непосредственно посетителем, при нажатии на кнопку.

Gvozd 12.06.2010 22:26

Цитата:

Сообщение от Илья Кантор
д запускается в рамках текущей страницы. Это бывает очень удобно, особенно для записей в блогах, демок и т.п.

разве код в форме для этого публикуется???!!!
он публикуется для того чтобы показать возможность самостоятельного кода, а не по отношению к данному сайту
так, что стоит вые-таки запускать для построннего домена
Цитата:

Сообщение от Илья Кантор
Теперь при запуске JS/HTML будет выводиться предупреждение (отключаемое).

очень фигово выводится
Цитата:

Сообщение от Илья Кантор
Об XSS речи нет, т.к. код запускается непосредственно посетителем, при нажатии на кнопку.

это все равно XSS соглсно моему определеию, и определению wiki

Илья Кантор 12.06.2010 23:00

Цитата:

Сообщение от Gvozd (Сообщение 59217)
разве код в форме для этого публикуется???!!!
он публикуется для того чтобы показать возможность самостоятельного кода, а не по отношению к данному сайту
так, что стоит вые-таки запускать для построннего домена

Хочется запускать код в рамках единого окна. Чтобы можно было разбивать пример на несколько блоков кода и т.п.

В принципе, есть одна идея. Можно сделать окно с другого домена и передавать ему код для eval через кросс-доменное общение между окнами: postMessage.

Для iframe можно постить код на сервис, который будет в ответ выдавать страничку с кодом.

Что думаете? Насколько это будет удобно?

Илья Кантор 13.06.2010 11:58

Реализовал выполнение на отдельном домене. К сообщению добавил стили.

e1f 13.06.2010 12:50

Илья, в Опере 10.53 сообщение не появляется, код не выполняется. :(

Илья Кантор 13.06.2010 13:52

CTRL-F5 ? CTRL-R ?
alert('Код')


<b>HTML</b>

Gvozd 13.06.2010 14:20

Opera 10.53
полет нормальный
Спасибо большое)


Часовой пояс GMT +3, время: 08:56.