Есть техническая необходимость, например отправка формы в ифрейм на той же странице — это сегодня единственный (кроме флеша) способ реализовать «фоновую» загрузку файлов на сервер (иногда называемую по незнанию «аякс-загрузчик»)
Также ифреймы используются для вставки виджетов в блог с стороннего сайта, удобство в том, что владелец блога, даже если он туп как пень, легко впишет тег bahtqv в код страницы, и все будет работать без дополнительных извратов.
Сам по себе тег ифрейм не опасен. В верстке, согласен, он не нужен.
> то к примеру «сломаются» все редиректы с помощью javascript во всем интернете
Ну и пофиг, нормальные люди редирект делают только через заголовок Location:, в чем проблема?
Единственный аргумент против запрета cross-site scripting — невозможность делать вставить в блог виджет с другого сайта на яваскрипте. Не вижу в этом особой трагедии, пусть через ифрейм вставляют.
Давно пора это запретить, а также разделить по умолчанию куки на локальные и серверные, с ограничением доступа к ним (как флаг httpOnly).
Вообще, любое cross-site взаимодействие несет в себе угрозу безопасности. Даже обычная вставленная в письмо или ЛС пользователем картинка «сливает» хосту, на котором она размещена, реферер (который к примеру может содержать логин, или секретный код). И IP посетителя. А если в качестве картинки вставить ссылку на страницу вконтакте, подверженную CSRF, можно узнать имя/фамилию посетителя :)
Ну вроде на хабре эта уязвимость упоминалась. Заметтьте, ничего смертелоьного, просто немного спама.
Слава богу, в Опере ифреймы отключаются. Кстати, защитить сайт от воровства кук не так сложно — достаточно выставить свойство http-only, но видимо авторы вконтакте просто не в курсе (хотя это решение не панацея, так как во первых часть браузеров сливает секретную куку через чтение заголовков ответа XmlHttprequest, и часть не поддерживает этот флаг, а во вторых, оно не защищает от возможной CSRF). Как и видимо, не в курсе про способы защиты от XSS.
1. Старайтесь не использовать jQuery — вот лучший совет, имхо.
Совет, про подключение с Гугла — бред. С нашего сервера файлы грузятся быстрее чем с Гугла, тем более в России. Также набили шишки на подключении с dev.jquery.com, он периодически падает дней так на 5, причем падает, не отвечая на соединения и подвешивая загрузку страницы…
А с третьей стороны, представьте, написали вы где-нибудь в сети в припадке праведного гнева в комментах «свободу Кубе», «долой марионеточное правильтельство», или там «долой школьный портал», автор блога сдал ваш емейл, получили ваш телефон, определили по нему ваше местонахождение, и в гости пришли крепкие ребята в форме :( Грустно же.
Слушайте, а кто-нибудь знает, зачем вообще нужны closures? По моему, так они только тратят лишние ресурсы, да еще и путаницу создают, как в яваскрипте.
Фууу, как же тяжело, когда надо куда-то идти в установленное время, и работать по дням недели, а не по настроению! Считаю, любой график — смерть для способного человека.
> Однако, Стивен Хокинг уверен, что уже в течение ближайшего столетия люди найдут способы модифицировать интеллект и инстинкты, такие как агрессивность.
Вот насколбько я знаю человечество, скорее люди найдут способ усилить аггрессивность, тупость и пособность беспрекословно выполнять приказы… военные интересы всегда были приоритетом.
А вообще, конечно, было бы справедливее, если бы в будущем всем доставалось качественное и здоровое тело с рождения, а не такое, которое видимо кто-то за ненадобностью на свалку выкинул.
Про подобные способы можно прочитать на сайте code.google.com/p/doctype/ В частности, для борьбы с такой эксплуатацией JSON-запросов, необходимо в ответ с сервера помещать код, вызывающий ошибку обработки явакрипта. Ну и не забыть отдельное спасибо сказать разработчикам браузеров, которые фактически позволяют выполнять код с разных доменов в одном окне.
Слушайте, а что хорошего в том, что куча всего навалена на одной странице? Неудобно же? Мне так такие сайты не нравятся, трубно сразу понять где что находится.
Дык в реальности как правило, есть какие нибудь мелочи, или особенности, все равно код придется писать. К тому же эти .NET такой отвратительного качества код генерируют.
Также ифреймы используются для вставки виджетов в блог с стороннего сайта, удобство в том, что владелец блога, даже если он туп как пень, легко впишет тег bahtqv в код страницы, и все будет работать без дополнительных извратов.
Сам по себе тег ифрейм не опасен. В верстке, согласен, он не нужен.
Ну и пофиг, нормальные люди редирект делают только через заголовок Location:, в чем проблема?
Единственный аргумент против запрета cross-site scripting — невозможность делать вставить в блог виджет с другого сайта на яваскрипте. Не вижу в этом особой трагедии, пусть через ифрейм вставляют.
Давно пора это запретить, а также разделить по умолчанию куки на локальные и серверные, с ограничением доступа к ним (как флаг httpOnly).
Вообще, любое cross-site взаимодействие несет в себе угрозу безопасности. Даже обычная вставленная в письмо или ЛС пользователем картинка «сливает» хосту, на котором она размещена, реферер (который к примеру может содержать логин, или секретный код). И IP посетителя. А если в качестве картинки вставить ссылку на страницу вконтакте, подверженную CSRF, можно узнать имя/фамилию посетителя :)
Слава богу, в Опере ифреймы отключаются. Кстати, защитить сайт от воровства кук не так сложно — достаточно выставить свойство http-only, но видимо авторы вконтакте просто не в курсе (хотя это решение не панацея, так как во первых часть браузеров сливает секретную куку через чтение заголовков ответа XmlHttprequest, и часть не поддерживает этот флаг, а во вторых, оно не защищает от возможной CSRF). Как и видимо, не в курсе про способы защиты от XSS.
Совет, про подключение с Гугла — бред. С нашего сервера файлы грузятся быстрее чем с Гугла, тем более в России. Также набили шишки на подключении с dev.jquery.com, он периодически падает дней так на 5, причем падает, не отвечая на соединения и подвешивая загрузку страницы…
Вот насколбько я знаю человечество, скорее люди найдут способ усилить аггрессивность, тупость и пособность беспрекословно выполнять приказы… военные интересы всегда были приоритетом.
А вообще, конечно, было бы справедливее, если бы в будущем всем доставалось качественное и здоровое тело с рождения, а не такое, которое видимо кто-то за ненадобностью на свалку выкинул.
И вообще, руки прочь от Гугла!
А так вообще, очень даже хорошо сделано :)
Ну и насчет Линукса в телефоне, я не очень уверен, что с ним делать (не в консоли же ковыряться?), я слышал Iphone OS удобнее.
Не пойду :((
p.s. Лучше бы сделали уже нормальный сайт с котиками, в хорошем разрешении и без уродливых ватермарков!
p.p.s идея сделать обсждение имхо дурацкая, высокохудожественных речей там точно не дождешься.
А идея «swatting», надо признать, довольно-таки веселый вид развлечения :)