- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте! Есть форум, на нём куча страниц, категорий и т.д. Так-же есть группа редакторов, у неё есть привилегии создавать и редактировать свои страницы в разметке HTML. Разумеется все участники "свои" вроде. Если вдруг в наши ряды запишется вредитель, он соответственно получит возможность создавать страницы в HTML - как он может навредить сайту?
По мимо того что можно просто искривить структуру отображения страницы это понятно, восстановить - просто удалив его статью. А есть более серьёзные последствия подобного действия?
Спасибо за помощь господа.
Возможно включат сторонний JS скрипт ,поэтому обычно всем запрещают HTML код в формате поста. А включив левый скрипт ваш сайт могут загнать в список опасных сайтов, и он потеряет позиции.
Возможно включат сторонний JS скрипт ,поэтому обычно всем запрещают HTML код в формате поста. А включив левый скрипт ваш сайт могут загнать в список опасных сайтов, и он потеряет позиции.
Это один из вариантов или единственный? В таком случае можно просто запретить в редакторе использовать JS скрипты, если они будут найдены статья не пройдёт на постинг.
Если статья с HTML-кодом хранится в БД, то есть опасность SQL-инъекций. Про XSS уже сказали. Ну и банально можно поставить невидимую ссылку.
Это один из вариантов или единственный?
Вирус можно и через фрейм загрузить.
Проще написать, к примеру, что путин вор и вообще гнида - а потом нажаловаться в ркн. Сие правда ненадолго.
Возможно включат сторонний JS скрипт
Сомневаюсь, что сейчас есть движки форумов, в которых потенциально опасный код не экранируется по умолчанию))
Если вдруг в наши ряды запишется вредитель, он соответственно получит возможность создавать страницы в HTML - как он может навредить сайту?
Это смотря что ему там разрешено вставлять. В нормальных движках разрешен только относительно небольшой набор html-тегов. Никаких скриптов, фреймов и тп.
Проще написать, к примеру, что путин вор и вообще гнида - а потом нажаловаться в ркн. Сие правда ненадолго.
На сёрч уже можно жаловаться ;)
Вероятность что навредят сайту взломав его очень малая, так как SQL инъекцию через HTML сделать не реально - все популярные движки экранируют кавычки, а вот сделать из вашего сайта курьера под вирусы - запросто. Просто код и ваш сайт открывает сотню окон с партнерками, или вообще с гнухой.А для чего вообще надо разрешать HTML код юзерам?
На сёрч уже можно жаловаться
И придется снести раздел политика, ага :)
а вот сделать из вашего сайта курьера под вирусы - запросто. Просто код и ваш сайт открывает сотню окон
Без скриптов, фреймов и только с базовым HTML (a, p, br, Hx, и тп)?
И как же?