- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
На том этапе, что при запросе несуществующего favicon.ico браузер среагирует на заголовок 404, браузер в данном случае не будет загружать соддержимое 404 страницы.
Провёл небольшой эксперимент, не до конца полный ибо немного надоело играться с разными вариантами. :)
Если в .htaccess
есть директива
ErrorDocument 404 /404.php
то "фавикона" с Javascript'ом отдаёт 206 partial content. Также простой скрипт в виде
(это тнаш 404.php)
Ничего не показывает на месте фавиконы. Если же сделать так:
то ФФ показывает.
Но при этом выполнения кода в виде
не получилось выполнить JS-код.
Но если мы пытаемся доступится до фавиконы по прямому адресу, введя его в браузере, то джаваскрипт выполняется, даже если не отдавать 200 заголовок. Также этот код выполняется в случае набора любой несуществующей страницы.
Dreammaker добавил 01.04.2009 в 13:01
яваскрипт в фавиконке вряд ли выполняется.
Так что да, так оно и есть. (плюсомёт не сработал :) )
Правда, опасность всё равно не умаляется, ибо зайти на несуществующую страницу и без фавиконы несложно..
Впрочем, на том сайте в коде этого не было, а касперский ругнулся именно на фавикону
как ни крути, касперский, и любой другой, проверяют ТОЛЬКО файлы загруженные на локальный комп. Если вместо ico придет зараженная страница 404 - никто, кроме антивиря, ее не увидит и ни на что она не повлияет. даже IE это в заглушки убрал. Если ожидается картинка, то любой иной контент, отличный от ожидаемого - не обрабатывается.
Вопрос, что такого страшного висано в страницу 404? (касперу никогда веры небыло и нет)
PS Меня здесь настораживает только факт кражи паролей ftp.
Провёл небольшой эксперимент, не до конца полный ибо немного надоело играться с разными вариантами. :)
Если в .htaccess
есть директива
ErrorDocument 404 /404.php
то "фавикона" с Javascript'ом отдаёт 206 partial content. Также простой скрипт в виде
(это тнаш 404.php)
Ничего не показывает на месте фавиконы. Если же сделать так:
то ФФ показывает.
Но при этом выполнения кода в виде
не получилось выполнить JS-код.
Но если мы пытаемся доступится до фавиконы по прямому адресу, введя его в браузере, то джаваскрипт выполняется, даже если не отдавать 200 заголовок. Также этот код выполняется в случае набора любой несуществующей страницы.
Dreammaker добавил 01.04.2009 в 13:01
Так что да, так оно и есть. (плюсомёт не сработал :) )
Правда, опасность всё равно не умаляется, ибо зайти на несуществующую страницу и без фавиконы несложно..
Собственно что я и говорил. 404 отдается только по прямому вводу URL в браузер.
Вопрос, что такого страшного висано в страницу 404?
стандартное eval unescape и т.д. Я не расшифровывал, но не думаю, что содержимое будет сюрпризом. :)
Dreammaker добавил 01.04.2009 в 13:26
404 отдается только по прямому вводу URL в браузер.
Но если отдавать в этой странице, которая показывается по 404 ошибке 200 заголовок, то содержимое грузится, только не выполняется в нём js.
echo в браузер и увидите
alert ;) мне и это было лень.