Website CMS: быстрая, удобная, недорогая!

awilum, не смотря на то, что воровать контент плохо, в редакторе все-равно присутствует кнопка "Вставить только текст". Она не копирует никаких скриптов.

AlikZP

я бы этого не писал, если бы мне не говорили: Исправь эту хрень с редактором!

и второе - это все же бага, хотя и не ваша но все же.

Если хозяин оригинального текста решил, что ему нужно защищать свой контент от воровства путем встроенных скриптов - я не понимаю, почему я должен ему мешать. Если я буду удалять встроенные скрипты, то в этом случае я, получается, способствую воровству, чего я крайне не желаю делать, так как крайне не люблю данное явление.

Да и попадется на этом только глупый вор, ибо умные смогут скопипастить контент путем кнопки "Вставить только текст", которая чистит все встроенные скрипты.

Но все же, что вы-таки хотите??

Fredo

Мне говорят, что бы вставлялся текст без чужого форматирования. Просто текст! а не вся html верстка вместе с ним.

awilum, это не бага. Это правильное поведение редактора.

Берите и нажимайте удаление тегов раз ТС говорит, что оно есть (вставка только текста).

AlikZP, XSS есть в вашем скрипте в принципе.

Одну уязвимость видно невооруженным взглядом. (не редактор, другая).

Коллега, не сочтите за критику, вы хороший кодер, очень приличный разработчик интерфейсов. С промышленным дизайном у вас все отлично (впрочем и с вебдизайном тоже).

Несколько идей я у Вас тупо передрал уже. Некоторые я еще года три назад как перестал использовать, и как сейчас понял зря - тоже спасибо.

Но вот с безопасностью у Вас лажа.

Судя по некоторым ляпам Вы ею не занимались в принципе.

Увод кук админа более чем реален, это проверено. Дальше капать надо, мне лень, да и не специалист я по безопасности, так "хакер на пенсии" :)

Конкретные замечания не скажу поскольку у Вас уже есть живые клиенты с живыми сайтами.

Совет - таки дайте кому-то скрипт бесплатно в обмен на аудит безопасности. Вроде предлагали в топике, если чел шарит, то стоит дать, самому сложно себя проверить.

ПЫСЫ: не могу удержаться и спросить - коллега, Вы перепутали понятия Model и View в терминологии, или в выражении "модели шаблонов" есть какой-то смысл которого я не вижу?

mendel

это бага хотя бы потому что я сделаю верстку старницы не валидной!

как думаете, эта страница будет валидна ?

Покажите в личку, возможно что-то и пропустил.

Занимаюсь. В принципе занимаюсь. Вам ничего не даст кука админа.

Wiki:

Так и есть. Контроллер интерпретирует, после чего передает управление модели. Модель в простейшем случае не изменяет состояние, на данный момент можно обойтись без этого. Но, тем не менее, модель предоставляет данные для View. А view уже выводит нужные части шаблона, в зависимости от того, что попросила модель.

AlikZP добавил 13.01.2011 в 01:52

awilum, да, а если в редакторе в исходном коде написать только

</div>

то страница тоже будет невалидна :)

Но это же зависит только от конечного пользователя, почему я должен его чем-то ограничивать? Хочет вставлять с тегами - пускай. Не хочет - есть соответствующий функционал редактора. В чем проблема-то?

AlikZP

да она будет не валидна.

А скопировать захотеть можно и не статью а что угодно: курсы валют, погоду и еще какую то информации не обязательно нарушающую чьи то копирайты и при в ставки в редактор получим невалидный кусок html кода

Ну это вы уже должны предусмотреть закрытие незакрытых тегов и прочие вещи от которых сайт может перекосить.