Pull to refresh

Лайфстрим сервис chi.mp (бесплатный домен 2-ого уровня, блог) не фильтрует javascript

Reading time 1 min
Views 1.7K
chi.mp
Небезызвестный лайфстрим сервис с бесплатным доменом второго уровня.
Погуглим:
google.com site:*.mp
227 000 — не так уж и мало. Большая часть выдачи — как раз блоги на chi.mp.
Но про безопасность как всегда забыли.

А с чего всё началось? А с того, что мне этой халявой все уши прожужжали. Ну, думаю, почему бы и не обзавестись еще одним доменом и блогом, да заодно посмотреть что там нового в UI придумано, и «что вообще в мире делается» ©

И так, зарегался. И как всегда, первым делом полез в wysywig.
.mp blog wysywig
Довольно изящно, но скудно. Первое впечатление — обезопасились. И тут я вспомнил, что хотел использовать блог для постов по программированию. И на javascript в т.ч. А как подавать примеры? Хочется же прямо внутри статьи, да чтоб еще и выполнялись.

Пробуем самое простое в режиме source:


Переходим обратно/сохраняем. Не вышло.


Но как вы уже заметили, ни внутренний handler (onclick), ни произвольный ID элемента вырезаны не были.
И я решил продолжить. Только в этот раз прибегнув к js-функции decodeURIComponent.
image
No comments. Что у меня там получилось еще — рассказывать не буду.
Tags:
Hubs:
+3
Comments 6
Comments Comments 6

Articles