pxx22 янв 2008 в 11:07

Опасные атрибуты тегов

1 мин

812

Habr

+18

Комментарии 46

iBear 22 янв 2008 в 11:33

Вы правы!

Virtual_GOD 22 янв 2008 в 18:22

уже пофиксили?

Virtual_GOD 22 янв 2008 в 18:23

да. я как всегда опоздал :) class не получается прописать

AlexeyK 22 янв 2008 в 19:09

НАВЕРНОЕ

Silentium 22 янв 2008 в 13:26

>>После нескольких попыток удалось частично перекрыть своим текстом кнопки +/- комменту.
В каком браузере?

pxx 22 янв 2008 в 16:31

В опере. Но как, уже не вспомню...

Timon 22 янв 2008 в 13:28

Проверка.

konfuze 22 янв 2008 в 13:48

Вообще тэг div не находится в списке разрешённых в комментариях, так что это скорее всего просто недосмотр (например, span — режется).

П.с. class="footer" ;)

pxx 22 янв 2008 в 16:29

Начал проверку с тегов <p> и <a>. Тоже поддерживается указание атрибутов class и id

pxx 22 янв 2008 в 16:30

А вот и еще баг :)
В комментах не поддерживаются named entities

Gunger 22 янв 2008 в 13:50

Ну что, все тестят, а я не при делах :-)

Gunger 22 янв 2008 в 13:51

Прямой эфир ↓

cyboru →
Мой бизнес /
Юридическое и физическое лицо: немного об ответственности 25

Gunger 22 янв 2008 в 13:52

Простите, заранее.. Просто слишком удивился возможности такой вставки (выше)...

cyboru 22 янв 2008 в 13:54

проверочка

habrich 22 янв 2008 в 13:54

Ага, если еще вспомнить, что можно вставлять несколько классов в class="", тогда...

НЛО прилетело и опубликовало эту надпись здесь

Petrovichs 22 янв 2008 в 14:15

Однако недосмотр. Хорошо еще, что format c: не проходит. О-опс! Погодите-ка......

Gunger 22 янв 2008 в 14:17

Удачной установки ОС, хы :-)

Tarry 22 янв 2008 в 14:17

А ведь можно и так... Тут идет много много текста, а все по тому, что помимо class есть еще и id, заранее прошу прощения

k0rzhik 22 янв 2008 в 14:18

Р

Gunger 22 янв 2008 в 14:19

щас прилетит НЛО и сотрет половину надписей :-)

k0rzhik 22 янв 2008 в 14:22

Я только за, пущай только дырку закроет :) А то после этого страшно подумать какими станут комментарии

Gunger 22 янв 2008 в 14:24

Я думаю, что противников подобного действия здесь нет :-)

k0rzhik 22 янв 2008 в 14:26

Посмотрите на 3 комментария выше, это нормально?)

Gunger 22 янв 2008 в 14:30

Но и не аморально :-) Если такое появится в комментариях к другим топикам - будет ужасно, согласен. :-)

k0rzhik 22 янв 2008 в 14:34

Ну так я про другие топики и говорю

Indamix 22 янв 2008 в 14:25

Верно подмечено, все, кому интересно, попробовал, только пишите, пожалуйста, по-русски: «атрибут».

k0rzhik 22 янв 2008 в 14:30

А не с двумя "т" ? я не зануда =)

neko 22 янв 2008 в 14:35

С двумя «т» — калька с английского. Вы же не пишете оффис :)

k0rzhik 22 янв 2008 в 14:42

Логично :)
Но и слово атрибут не помню когда и где последний писал по-русски, наверное, классе в восьмом на информатике, когда хмтл проходили :)

pxx 22 янв 2008 в 16:27

Верно подмечено! Спасибо, исправил.

Orenlab 22 янв 2008 в 14:39

После появления злосчастного Черного Властелина все Хабралюди взялись помогать искать хабраупущения, что бы завтра не лицезреть хабрадырки.

НЛО прилетело и опубликовало эту надпись здесь

BaBL 22 янв 2008 в 16:02

чет хабрахабр совсем дырявый, не ожидал такого.

Petrovichs 22 янв 2008 в 18:04

Ну ладно преувеличивать. Не писайте в компот! Всё пучком! Ничего не пропало, всё будет исправлено, магнитные полюса планеты не переменились - и мы снова нормальмо общаемся друг с другом. Щас разработчики не без помощи нло всё поправят и всё вернётся на круги своя.

BaBL 22 янв 2008 в 19:44

Можешь гарантировать что ничего не пропало? XSS далеко не только для "дефейсов" (в кавычках) годится, тут iframe пропускался, через него JS скриптом с тебя что угодно можно было вытащить (посмотри тот же Trojan-Downloader.JS.Iframe) и вряд ли кому-то известно, сколько "правильные люди" уже юзали эту уязвимость.

Valdei 22 янв 2008 в 17:19

Гм. А что будет, если просто не закрыть див с каким-нить id? Всё, что дальше, нагнётся? Тестить опасаюсь)

Valdei 22 янв 2008 в 17:29

Забавно. Но пока - не более.
(ждём НЛО?)

dealer 22 янв 2008 в 18:04

да ничего небудет
получиш по жопе, контент почистят и жизнь пойдет дальше...

Hitryi_Pryanik 22 янв 2008 в 19:37

Тестеры :)
Я лично за политику белого списка. То есть не переписывать в фильтре всё, чего нельзя вставить, а просто задать несколько параметров, которые вставлять можно. Ну и плюс отдельные элементы прогонять сквозь регэкспы, чтобы левых атрибутов не было. Но опять же писать регэксп не в стиле "если так вот, то превратить в то-то, срезать это" а в стиле "можно только вот так".