pxx Jan 22 2008 at 11:07

Опасные атрибуты тегов

1 min

764

Habr

+18

Comments 46

iBear Jan 22 2008 at 11:33

Вы правы!

Virtual_GOD Jan 22 2008 at 18:22

уже пофиксили?

Virtual_GOD Jan 22 2008 at 18:23

да. я как всегда опоздал :) class не получается прописать

AlexeyK Jan 22 2008 at 19:09

НАВЕРНОЕ

Silentium Jan 22 2008 at 13:26

>>После нескольких попыток удалось частично перекрыть своим текстом кнопки +/- комменту.
В каком браузере?

pxx Jan 22 2008 at 16:31

В опере. Но как, уже не вспомню...

Timon Jan 22 2008 at 13:28

Проверка.

konfuze Jan 22 2008 at 13:48

Вообще тэг div не находится в списке разрешённых в комментариях, так что это скорее всего просто недосмотр (например, span — режется).

П.с. class="footer" ;)

pxx Jan 22 2008 at 16:29

Начал проверку с тегов <p> и <a>. Тоже поддерживается указание атрибутов class и id

pxx Jan 22 2008 at 16:30

А вот и еще баг :)
В комментах не поддерживаются named entities

Gunger Jan 22 2008 at 13:50

Ну что, все тестят, а я не при делах :-)

Gunger Jan 22 2008 at 13:51

Прямой эфир ↓

cyboru →
Мой бизнес /
Юридическое и физическое лицо: немного об ответственности 25

Gunger Jan 22 2008 at 13:52

Простите, заранее.. Просто слишком удивился возможности такой вставки (выше)...

cyboru Jan 22 2008 at 13:54

проверочка

habrich Jan 22 2008 at 13:54

Ага, если еще вспомнить, что можно вставлять несколько классов в class="", тогда...

UFO landed and left these words here

Petrovichs Jan 22 2008 at 14:15

Однако недосмотр. Хорошо еще, что format c: не проходит. О-опс! Погодите-ка......

Gunger Jan 22 2008 at 14:17

Удачной установки ОС, хы :-)

Tarry Jan 22 2008 at 14:17

А ведь можно и так... Тут идет много много текста, а все по тому, что помимо class есть еще и id, заранее прошу прощения

k0rzhik Jan 22 2008 at 14:18

Р

Gunger Jan 22 2008 at 14:19

щас прилетит НЛО и сотрет половину надписей :-)

k0rzhik Jan 22 2008 at 14:22

Я только за, пущай только дырку закроет :) А то после этого страшно подумать какими станут комментарии

Gunger Jan 22 2008 at 14:24

Я думаю, что противников подобного действия здесь нет :-)

k0rzhik Jan 22 2008 at 14:26

Посмотрите на 3 комментария выше, это нормально?)

Gunger Jan 22 2008 at 14:30

Но и не аморально :-) Если такое появится в комментариях к другим топикам - будет ужасно, согласен. :-)

k0rzhik Jan 22 2008 at 14:34

Ну так я про другие топики и говорю

Indamix Jan 22 2008 at 14:25

Верно подмечено, все, кому интересно, попробовал, только пишите, пожалуйста, по-русски: «атрибут».

k0rzhik Jan 22 2008 at 14:30

А не с двумя "т" ? я не зануда =)

neko Jan 22 2008 at 14:35

С двумя «т» — калька с английского. Вы же не пишете оффис :)

k0rzhik Jan 22 2008 at 14:42

Логично :)
Но и слово атрибут не помню когда и где последний писал по-русски, наверное, классе в восьмом на информатике, когда хмтл проходили :)

pxx Jan 22 2008 at 16:27

Верно подмечено! Спасибо, исправил.

Orenlab Jan 22 2008 at 14:39

После появления злосчастного Черного Властелина все Хабралюди взялись помогать искать хабраупущения, что бы завтра не лицезреть хабрадырки.

UFO landed and left these words here

BaBL Jan 22 2008 at 16:02

чет хабрахабр совсем дырявый, не ожидал такого.

Petrovichs Jan 22 2008 at 18:04

Ну ладно преувеличивать. Не писайте в компот! Всё пучком! Ничего не пропало, всё будет исправлено, магнитные полюса планеты не переменились - и мы снова нормальмо общаемся друг с другом. Щас разработчики не без помощи нло всё поправят и всё вернётся на круги своя.

BaBL Jan 22 2008 at 19:44

Можешь гарантировать что ничего не пропало? XSS далеко не только для "дефейсов" (в кавычках) годится, тут iframe пропускался, через него JS скриптом с тебя что угодно можно было вытащить (посмотри тот же Trojan-Downloader.JS.Iframe) и вряд ли кому-то известно, сколько "правильные люди" уже юзали эту уязвимость.

Valdei Jan 22 2008 at 17:19

Гм. А что будет, если просто не закрыть див с каким-нить id? Всё, что дальше, нагнётся? Тестить опасаюсь)

Valdei Jan 22 2008 at 17:29

Забавно. Но пока - не более.
(ждём НЛО?)

dealer Jan 22 2008 at 18:04

да ничего небудет
получиш по жопе, контент почистят и жизнь пойдет дальше...

Hitryi_Pryanik Jan 22 2008 at 19:37

Тестеры :)
Я лично за политику белого списка. То есть не переписывать в фильтре всё, чего нельзя вставить, а просто задать несколько параметров, которые вставлять можно. Ну и плюс отдельные элементы прогонять сквозь регэкспы, чтобы левых атрибутов не было. Но опять же писать регэксп не в стиле "если так вот, то превратить в то-то, срезать это" а в стиле "можно только вот так".