Сап двач, в тред призываются аштимэле тимлиды и прочие программисты. Объясните простым языком, почему я не могу использовать html теги на всяких сервисах, типа ВК, или на форумах, да даже на дваче для разметки мы используем какие-то другие теги, в квадратных скобках погуглил, это называется BBCode, но не понял, почему бы не пользоваться обычнымиБраузер их будто не видит
<strong>bump</strong>
bump
>>144698964 (OP)ПУШТО ОНИ СЛОМАЮТ РАЗМЕТКУ САЙТА ЕБА!
>>144699155bump
bump фронтендный тактический
bump заключительный<br>и съебываю
У них защита против хуйни типа пикрелейтед
Только на пикр SQL, а вПаше HTML. Иначе ты бы там было раздолье для хацкеров.
Потому что это уязвимость. Глупенький что ли?
На сайтах госконтор периодически всплывают такие огрехи, когда вводимые символы не экранируются и можно исполнять свой собственный код, уводя учетки и данные.Потому что выделяют на сайт миллион рублей, 980000 идет в карман чиновнику, и 20 тыс рублей- студенту на создание сайта. Ну он как может, так и создает.
да не в хакерах дело. вполне можно сделать лист безопасных тегов которые можно использовать. и не в ломании разметки. на форумах раньше вполне можно было использовать всякие болд, фонт и ничего не ломалось, тот самый ббкодпросто дизайнеры решили, что если каждый будет писать сообщения как хочет, кто жирным, кто курсивом, кто комик сансом, то будет дебилизм какой-тоа ббкод используют просто потому что он проще и в применении и во встраивании, там только те теги которые нужны, не нужно думать не включил ли в список тегов чего плохого
>>144700928ты не задумывался почему вообще ббкод появился как альтернатива тем же самым html тегам?как раз чтобы верстку не переебывали, xss не пихали налево и направо и прочими непотребствами не занимались
>>144700913А есть какой-нибудь типа игрушечный сервис, где специально допущены такие уязвимости и можно поиграться без регистрации и смс?
>>144701112127.0.0.1
>>144701112была игра, где уровни надо проходить "ломая" страницыпрямо по-классному надо было изъебываться и пропихивать xss например в демо-код и прочеезабыл к сожалению как называлась, щас поищу
>>144701112Сам напиши сайт с полями ввода без экранирования, вот тебе и будет локальный игрушечный сервис.Если руки из плеч- за 15 минут страничку с формочкой и отправкой на сервер сверстаешь.Если ньюфаг(а скорее всего так и есть)- то пару часов попыхтишь и сделаешь.
>>144700441Кекнул с пикчи.
>>144701209Поищи, пожалуйста
>>144701209Это очень модный жанр, в плэймаркете десятки подобных игр для хакиров. На инглише естественно, ибо хакер, не умеющий в инглиш- это ватник.
>>144701253У меня получится очень криво, потому что в дивы и блочную разметку пока не могу, а душа требует эстетики
>>144701266https://xss-game.appspot.com/level1нашел от гуглано это не совсем та, про которую говорил. забыл к сожалению как именно та называлась :(
>>144701327>ибо хакер, не умеющий в инглиш- это ватник
>>144701375Спасибо :3
>>144698964 (OP)Лол
>>144701077на самом деле в хтмл опасен разве что тег скрипт и айфрейм, из того что вспоминаю, ну может еще пара теговббкод появился по той же причине, по которой появился хтмл - чтобы было только нужное, чтобы каждый мог использовать его на своем сайте не изобретая каждый раз велосидепхтмл ведь тоже не с нуля придуман, а появился из более общего языка SGML, применяемого в типографии, из него оставили только нужное для вебатак же и в ббкод оставили только нужное для дауна-юзераК слову, в админках большинства сайтов используется редактор типа тиниМСЕ, в котором используется как раз безопасный хтмл и любой редактор сайта может городить чего хочет в оформлении, при этом не имея возможности ничего взломать
>>144701617img дырявыйразреши атрибуты к тегам добавлять - тоже дырки полетятне забывай про события джаваскриптовые которые как атрибуты пишутсяxss можно даже в <div style="сюда"></div>запихнуть при желании
>>144701617а редакторы в админках такие потому что подразумевается что админ не будет на свой же сайт говна городитьи да, там все экранируется в этих редакторахтеги в чистом виде хранить в бд - моветон и опасносте
>>144701374Не забудь разработать анус розовым дилдаком, прежде чем сядешь верстать.айМак с ретиной уже купил?
>>144701868доступ к админке и этим редакторам имеет не только админ, а например еще десяток нанятых редакторов новостей, представь что было бы если бы все они имели возможность поломать сайт через этот редактор.
>>1447019471. поэтому все что постится в базу и экранируется, как я написал выше2. при должной сноровке и в зависимости от движка они имеют возможность поломать, но как правило это копирасты которые даже в тегах путаются3. есть контроль их работы и договор, если работа официальная, по которому они получат пизды чуть что сломают
Прочитал тред и все равно нихуя не понял.
>>144702104А я понял