Javascript.RU

Результаты опроса: Стоило ли переходить на новую подсветку?
Нет 0 0%
Да 0 0%
Да, но можно бы улучшить (опишу в топике) 0 0%
Голосовавшие: 0. Этот опрос закрыт

Создать новую тему Ответ
 
Опции темы Искать в теме
  #101 (permalink)  
Старый 11.06.2010, 16:44
Аватар для Gvozd
Матрос
Отправить личное сообщение для Gvozd Посмотреть профиль Найти все сообщения от Gvozd
 
Регистрация: 04.04.2008
Сообщений: 6,246

ку
в прошлой версии подсветки, при запуске выполняемого JS он вроде бы выполнялся на отдельном же домене, для избежания кражи кук?!
А в новой версии такого не наблюдается.
было бы неплохо поправить
Ответить с цитированием
  #102 (permalink)  
Старый 11.06.2010, 16:47
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

Да ну не только для кражи кук. Можно ведь всякую другую гадость делать. Не скажу какую на всякий случай
Ответить с цитированием
  #103 (permalink)  
Старый 11.06.2010, 16:52
Аватар для Gvozd
Матрос
Отправить личное сообщение для Gvozd Посмотреть профиль Найти все сообщения от Gvozd
 
Регистрация: 04.04.2008
Сообщений: 6,246

да, я думаю, все и так прекрасно понимают, чем грозит незакрытая XSS
Ответить с цитированием
  #104 (permalink)  
Старый 12.06.2010, 22:09
Аватар для Илья Кантор
Администратор
Отправить личное сообщение для Илья Кантор Посмотреть профиль Найти все сообщения от Илья Кантор
 
Регистрация: 25.05.2007
Сообщений: 1,221

Код запускается в рамках текущей страницы. Это бывает очень удобно, особенно для записей в блогах, демок и т.п.

С другой стороны, это действительно может быть небезопасно.

Теперь при запуске JS/HTML будет выводиться предупреждение (отключаемое).

Об XSS речи нет, т.к. код запускается непосредственно посетителем, при нажатии на кнопку.
Ответить с цитированием
  #105 (permalink)  
Старый 12.06.2010, 22:26
Аватар для Gvozd
Матрос
Отправить личное сообщение для Gvozd Посмотреть профиль Найти все сообщения от Gvozd
 
Регистрация: 04.04.2008
Сообщений: 6,246

Сообщение от Илья Кантор
д запускается в рамках текущей страницы. Это бывает очень удобно, особенно для записей в блогах, демок и т.п.
разве код в форме для этого публикуется???!!!
он публикуется для того чтобы показать возможность самостоятельного кода, а не по отношению к данному сайту
так, что стоит вые-таки запускать для построннего домена
Сообщение от Илья Кантор
Теперь при запуске JS/HTML будет выводиться предупреждение (отключаемое).
очень фигово выводится
Сообщение от Илья Кантор
Об XSS речи нет, т.к. код запускается непосредственно посетителем, при нажатии на кнопку.
это все равно XSS соглсно моему определеию, и определению wiki
Ответить с цитированием
  #106 (permalink)  
Старый 12.06.2010, 23:00
Аватар для Илья Кантор
Администратор
Отправить личное сообщение для Илья Кантор Посмотреть профиль Найти все сообщения от Илья Кантор
 
Регистрация: 25.05.2007
Сообщений: 1,221

Сообщение от Gvozd Посмотреть сообщение
разве код в форме для этого публикуется???!!!
он публикуется для того чтобы показать возможность самостоятельного кода, а не по отношению к данному сайту
так, что стоит вые-таки запускать для построннего домена
Хочется запускать код в рамках единого окна. Чтобы можно было разбивать пример на несколько блоков кода и т.п.

В принципе, есть одна идея. Можно сделать окно с другого домена и передавать ему код для eval через кросс-доменное общение между окнами: postMessage.

Для iframe можно постить код на сервис, который будет в ответ выдавать страничку с кодом.

Что думаете? Насколько это будет удобно?
Ответить с цитированием
  #107 (permalink)  
Старый 13.06.2010, 11:58
Аватар для Илья Кантор
Администратор
Отправить личное сообщение для Илья Кантор Посмотреть профиль Найти все сообщения от Илья Кантор
 
Регистрация: 25.05.2007
Сообщений: 1,221

Реализовал выполнение на отдельном домене. К сообщению добавил стили.

Последний раз редактировалось Илья Кантор, 13.06.2010 в 12:12.
Ответить с цитированием
  #108 (permalink)  
Старый 13.06.2010, 12:50
Аватар для e1f
e1f e1f вне форума
Профессор
Отправить личное сообщение для e1f Посмотреть профиль Найти все сообщения от e1f
 
Регистрация: 03.04.2009
Сообщений: 1,263

Илья, в Опере 10.53 сообщение не появляется, код не выполняется.
Ответить с цитированием
  #109 (permalink)  
Старый 13.06.2010, 13:52
Аватар для Илья Кантор
Администратор
Отправить личное сообщение для Илья Кантор Посмотреть профиль Найти все сообщения от Илья Кантор
 
Регистрация: 25.05.2007
Сообщений: 1,221

CTRL-F5 ? CTRL-R ?
alert('Код')


<b>HTML</b>

Последний раз редактировалось Илья Кантор, 13.06.2010 в 14:04.
Ответить с цитированием
  #110 (permalink)  
Старый 13.06.2010, 14:20
Аватар для Gvozd
Матрос
Отправить личное сообщение для Gvozd Посмотреть профиль Найти все сообщения от Gvozd
 
Регистрация: 04.04.2008
Сообщений: 6,246

Opera 10.53
полет нормальный
Спасибо большое)
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
ExtJs - Перевод книги "Lerning ExtJs" MaXyC ExtJS 17 22.06.2012 17:41
Перевод API документации по ExtJS maxyc ExtJS 4 08.12.2009 16:18
Перевод кодировки на JS utf8<->wind1251 SunnyDay Общие вопросы Javascript 3 04.09.2009 14:25
Перевод стандарта ECMAScript Илья Кантор Общие вопросы Javascript 33 04.11.2008 23:32
Перевод числа из одной СС в другую News Общие вопросы Javascript 3 08.09.2008 09:46