Комментарии 46
Вы правы!
+2
>>После нескольких попыток удалось частично перекрыть своим текстом кнопки +/- комменту.
В каком браузере?
В каком браузере?
0
Проверка.
0
Вообще тэг div не находится в списке разрешённых в комментариях, так что это скорее всего просто недосмотр (например, span — режется).
П.с. class="footer" ;)
П.с. class="footer" ;)
0
Ну что, все тестят, а я не при делах :-)
0
+3
Простите, заранее.. Просто слишком удивился возможности такой вставки (выше)...
0
проверочка
0
Ага, если еще вспомнить, что можно вставлять несколько классов в class="", тогда...
0
НЛО прилетело и опубликовало эту надпись здесь
Однако недосмотр. Хорошо еще, что format c: не проходит. О-опс! Погодите-ка......
+1
А ведь можно и так... Тут идет много много текста, а все по тому, что помимо class есть еще и id, заранее прошу прощения
А ведь можно и так... Тут идет много много текста, а все по тому, что помимо class есть еще и id, заранее прошу прощения
+2
щас прилетит НЛО и сотрет половину надписей :-)
0
Верно подмечено, все, кому интересно, попробовал, только пишите, пожалуйста, по-русски: «атрибут».
+2
После появления злосчастного Черного Властелина все Хабралюди взялись помогать искать хабраупущения, что бы завтра не лицезреть хабрадырки.
0
НЛО прилетело и опубликовало эту надпись здесь
чет хабрахабр совсем дырявый, не ожидал такого.
+1
Ну ладно преувеличивать. Не писайте в компот! Всё пучком! Ничего не пропало, всё будет исправлено, магнитные полюса планеты не переменились - и мы снова нормальмо общаемся друг с другом. Щас разработчики не без помощи нло всё поправят и всё вернётся на круги своя.
0
Можешь гарантировать что ничего не пропало? XSS далеко не только для "дефейсов" (в кавычках) годится, тут iframe пропускался, через него JS скриптом с тебя что угодно можно было вытащить (посмотри тот же Trojan-Downloader.JS.Iframe) и вряд ли кому-то известно, сколько "правильные люди" уже юзали эту уязвимость.
0
Гм. А что будет, если просто не закрыть див с каким-нить id? Всё, что дальше, нагнётся? Тестить опасаюсь)
0
Забавно. Но пока - не более.
(ждём НЛО?)
(ждём НЛО?)
0
0
Тестеры :)
Я лично за политику белого списка. То есть не переписывать в фильтре всё, чего нельзя вставить, а просто задать несколько параметров, которые вставлять можно. Ну и плюс отдельные элементы прогонять сквозь регэкспы, чтобы левых атрибутов не было. Но опять же писать регэксп не в стиле "если так вот, то превратить в то-то, срезать это" а в стиле "можно только вот так".
Я лично за политику белого списка. То есть не переписывать в фильтре всё, чего нельзя вставить, а просто задать несколько параметров, которые вставлять можно. Ну и плюс отдельные элементы прогонять сквозь регэкспы, чтобы левых атрибутов не было. Но опять же писать регэксп не в стиле "если так вот, то превратить в то-то, срезать это" а в стиле "можно только вот так".
+2
Тест
0
Хм?
А так?
Это тоже текст
И это
А так?
А так?
Это тоже текст
И это
А так?
0
Думаю, НЛО наблюдает.
Когда ещё найдёшь в таком количестве тестеров, обладающих профессиональными знаниями?
Когда ещё найдёшь в таком количестве тестеров, обладающих профессиональными знаниями?
0
Хабр целый день лежал. Неужели кто-то нашел, как деструктивно применить CSS? :)
+1
А так? :)
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Изменить настройки темы
Опасные атрибуты тегов