<strong>bump</strong>

bump

>>144698964 (OP)
ПУШТО ОНИ СЛОМАЮТ РАЗМЕТКУ САЙТА ЕБА!

>>144699155
bump

bump

bump фронтендный тактический

bump заключительный<br>и съебываю

Только на пикр SQL, а вПаше HTML. Иначе ты бы там было раздолье для хацкеров.

Потому что это уязвимость. Глупенький что ли?

На сайтах госконтор периодически всплывают такие огрехи, когда вводимые символы не экранируются и можно исполнять свой собственный код, уводя учетки и данные.
Потому что выделяют на сайт миллион рублей, 980000 идет в карман чиновнику, и 20 тыс рублей- студенту на создание сайта. Ну он как может, так и создает.

да не в хакерах дело. вполне можно сделать лист безопасных тегов которые можно использовать. и не в ломании разметки. на форумах раньше вполне можно было использовать всякие болд, фонт и ничего не ломалось, тот самый ббкод

просто дизайнеры решили, что если каждый будет писать сообщения как хочет, кто жирным, кто курсивом, кто комик сансом, то будет дебилизм какой-то

а ббкод используют просто потому что он проще и в применении и во встраивании, там только те теги которые нужны, не нужно думать не включил ли в список тегов чего плохого

>>144700928
ты не задумывался почему вообще ббкод появился как альтернатива тем же самым html тегам?
как раз чтобы верстку не переебывали, xss не пихали налево и направо и прочими непотребствами не занимались

>>144700913
А есть какой-нибудь типа игрушечный сервис, где специально допущены такие уязвимости и можно поиграться без регистрации и смс?

>>144701112
127.0.0.1

>>144701112
была игра, где уровни надо проходить "ломая" страницы
прямо по-классному надо было изъебываться и пропихивать xss например в демо-код и прочее
забыл к сожалению как называлась, щас поищу

>>144701112
Сам напиши сайт с полями ввода без экранирования, вот тебе и будет локальный игрушечный сервис.
Если руки из плеч- за 15 минут страничку с формочкой и отправкой на сервер сверстаешь.
Если ньюфаг(а скорее всего так и есть)- то пару часов попыхтишь и сделаешь.

>>144700441
Кекнул с пикчи.

>>144701209
Поищи, пожалуйста

>>144701209
Это очень модный жанр, в плэймаркете десятки подобных игр для хакиров. На инглише естественно, ибо хакер, не умеющий в инглиш- это ватник.

>>144701253
У меня получится очень криво, потому что в дивы и блочную разметку пока не могу, а душа требует эстетики

>>144701266
https://xss-game.appspot.com/level1
нашел от гугла
но это не совсем та, про которую говорил. забыл к сожалению как именно та называлась :(

>>144698964 (OP)
Лол

>>144701077
на самом деле в хтмл опасен разве что тег скрипт и айфрейм, из того что вспоминаю, ну может еще пара тегов

ббкод появился по той же причине, по которой появился хтмл - чтобы было только нужное, чтобы каждый мог использовать его на своем сайте не изобретая каждый раз велосидеп
хтмл ведь тоже не с нуля придуман, а появился из более общего языка SGML, применяемого в типографии, из него оставили только нужное для веба
так же и в ббкод оставили только нужное для дауна-юзера

К слову, в админках большинства сайтов используется редактор типа тиниМСЕ, в котором используется как раз безопасный хтмл и любой редактор сайта может городить чего хочет в оформлении, при этом не имея возможности ничего взломать

>>144701617
img дырявый
разреши атрибуты к тегам добавлять - тоже дырки полетят
не забывай про события джаваскриптовые которые как атрибуты пишутся
xss можно даже в <div style="сюда"></div>
запихнуть при желании

>>144701617
а редакторы в админках такие потому что подразумевается что админ не будет на свой же сайт говна городить
и да, там все экранируется в этих редакторах
теги в чистом виде хранить в бд - моветон и опасносте

>>144701374
Не забудь разработать анус розовым дилдаком, прежде чем сядешь верстать.
айМак с ретиной уже купил?

>>144701868
доступ к админке и этим редакторам имеет не только админ, а например еще десяток нанятых редакторов новостей, представь что было бы если бы все они имели возможность поломать сайт через этот редактор.

>>144701947
1. поэтому все что постится в базу и экранируется, как я написал выше
2. при должной сноровке и в зависимости от движка они имеют возможность поломать, но как правило это копирасты которые даже в тегах путаются
3. есть контроль их работы и договор, если работа официальная, по которому они получат пизды чуть что сломают

Прочитал тред и все равно нихуя не понял.

>>144702104
А я понял