How to become an author
Search
Write a publication
Pull to refresh

Comments 28

Неужели в CSS нет более интересных и часто встречаемых проблем, о которых можно написать статью? Grid? Flex?

В каких ситуациях вообще может понадобится менять размер посещенной ссылки? Это сделает UI менее постоянным, вследствии чего ухудшится UX

Если очень нужно, JS как всегда приходит на помощь в подобных ситуациях:

<a 
  href="https://habr.com/" 
  target="_blank" 
  onclick="this.classList.add('visited-link')"
>link text
</a>


.visited-link {
  font-size: 35px;
}
Total votes 39: ↑0 and ↓39-39
В вашем примере размер шрифта изменится при клике по ссылке, а это не означает, что она была посещена. При обновлении страницы стили не сохранятся. При переходе по этой ссылке с другого источника также результата не будет.
Total votes 7: ↑7 and ↓0+7

По мне так знания о непрямых атаках развивают мышление. Заставляют задумываться о последствиях казалось бы безобидных решений.
Помимо того, что нельзя изменить размер шрифта, нельзя изменить и сам шрифт и его начертание и много чего ещё, что имело бы смысл в дизайне.

Total votes 18: ↑18 and ↓0+18
Вы, видимо, не поняли, тут рассказывается не о проблеме стилизации а о безопасности.
«В каких ситуациях» — в ситуации когда злоумышленник хочет узнать какие сайты вы посещаете.
Если бы эта уязвимость работала, злоумышленник мог бы разместить на своём сайте 100500 ссылок, которые хочет проверить, и мог бы увидеть какие ссылки у посетителей отмечались бы другим цветом или размером.
JS вам в этом никак не поможет.
Total votes 12: ↑12 and ↓0+12
Собственно, когда уязвимость существовала, так и делали.
Total votes 4: ↑4 and ↓0+4
Неужели в CSS нет более интересных и часто встречаемых проблем, о которых можно написать статью? Grid? Flex?

В CSS, как кажется, порой проблем больше, чем решений. И уж про Grid, Flex, а также про много других подходов писали, и не раз, или я не прав? Но почему бы на Хабре (где вообще пишут обо всем, за уши притягивая тему к словам «ит» и «гик», как в том анекдоте про рыбу и блох) не описать такую вот тему, тем более что она, и правда, имеет очень интересную причину — я про откровенно, как кажется, нелогичное поведение браузера, идущее не от бага, а от логики безопасности? И лично мне, кстати, было очень интересно узнать об этом поведении, поскольку проблему, которую оно решает, я как раз считаю очень серьезной.
Total votes 4: ↑2 and ↓20
Что-то я не понял, если скрипт может выполнить `getComputedStyle`, то он может и навесить `onclick` на все ссылки, в чем состоит защита в этом случае?

PS: нашел ответ на reddit, без защиты сторонний скрипт мог бы нарисовать невидимый блок с тысячами ссылок и проверить были ли они посещены или нет.
Total votes 3: ↑3 and ↓0+3

Вы не переходили на какую-либо страницу с текущей. Вы посещали ее когда-то давно, но браузер меняет стиль на :visited.



Я вижу это так:


Можно сделать вывод, что я посещал главную Хабра и Ютуба когда-то. Хотя я не нажимал непосредственно на эти ссылки сейчас, обработчик бы не сработал.

Total votes 10: ↑10 and ↓0+10
У меня не подсветился habr.com, хотя я на habr.com прямо сейчас о_О
image
This comment wasn’t rated yet0
А почему нельзя делать скрин ссылки, и проверять цвет по конкретной точке? Можно самому воткнуть стиль для посещенных ссылок, за футером помещать интересующие ссылки, и смотреть цвет пикселя
Total votes 3: ↑2 and ↓1+1

Попробовал только что поиграться с html2canvas.js — браузер не отдает в читаемый канвас свойства псевдоэлемента :visited.

Total votes 6: ↑6 and ↓0+6

html2canvas не делает скриншот, а рендерит страницу с нуля, используя данные из HTML и CSS кода. Поэтому на него действует защаита, встроенная в getComputedStyle.

Total votes 3: ↑3 and ↓0+3
Потому-что нет встроенных средств сделать скриншоты по причине безопасности
Total votes 8: ↑8 and ↓0+8
В Chrome есть дыра через которую можно узнать состояние :visited. Почти год прошел с тех пор как был открыт Issue но команда Chrome не торопится его закрывать.
Total votes 10: ↑10 and ↓0+10
А вот оно где. Я до этого не дошел, через час надоело. Можно еще порыться в направлении свойств дочерних/соседних элементов: а:visited [selector]
This comment wasn’t rated yet0
Описанный способ так же работает и в последней версии ФФ — можно скачать attack.html из того issue, и попробовать.
Total votes 1: ↑1 and ↓0+1
А разве нельзя на a:visited повешать еще что-то типа display:none, и проверять уже дальше, что элемент вообще видимый?
Total votes 1: ↑0 and ↓1-1
Display не входит в список разрешённых для :visited свойств, поэтому браузер просто проигнорирует свойство
Total votes 1: ↑1 and ↓0+1
Allowable CSS properties are color, background-color, border-color, border-bottom-color, border-left-color, border-right-color, border-top-color, column-rule-color, and outline-color.
This comment wasn’t rated yet0
UFO just landed and posted this here

Именно так, «изоляцией Ржевского в гусарской балладе», собираются решать проблему посещенных ссылок в будущем. Но пока уже много лет есть существующее решение, браузеры стремятся хотя бы его поддерживать единообразно. И в этом, имхо, правы.


А отправлять на сервер небезопасные данные через CSS, конечно, незачем, но не всегда вас об этом спрашивают..;)

This comment wasn’t rated yet0
UFO just landed and posted this here
плохая метафора как кот с дверью
Total votes 4: ↑4 and ↓0+4
Какое же облегчение чувствуешь, читая такие строки. Даже на таком уровне используют костыли. Фух, я не один такой!
Total votes 1: ↑1 and ↓0+1
Весь веб — это много много костылей, чтобы просто показать пользователям некое изображение (в виде текста, картинок или видео).
Total votes 6: ↑5 and ↓1+4
Для меня не менее интересным открытием стал запрет на использование CSS переменных внутри :visited в Хроме. А вот в FireFox это не запрещено.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr