-
GAMEPOD.hu
Új hozzászólás Aktív témák
-
Sk8erPeter
nagyúr
válasz Penge_4 #19028 üzenetére
"Én úgy tudtam, hogy azért van, mert biztonságosabbnak tűnt eleve lehetőséget sem adni pl. iframe-ek behívására, mint HTML esetén, ahol ezeket kivétellistára kell tenni és a biztonsági kockázat is nagyobb, hogy iframe-et szúrsz be."
Nem-nem! Nem kivétellistára kell tenni, hanem pont, hogy whitelistet kell készíteni a MEGENGEDETT tagekből, és CSAK azokat engedni, minden mást kiszűrni. Általában ez a jó megközelítés, nem a blacklist, így a potenciális hibák és veszélyforrások száma jelentősen redukálható. Aztán a tagek szűrése után kiszűrni az összes további veszélyforrást pl. többek közt azzal is, hogy csak bizonyos attribútumokat engedsz meg (csak két példa a sokból: <a> tagnél href és title attribútum megadható, de más nem; <img> tagnél src és title megadható, más nem (az alt attribútum meg esetleg szerveroldalon generálódik a title alapján a validitás miatt); onclick-et pedig gondolom nem kell elmagyaráznom, miért nem lenne jó engedélyezni).
<iframe>-et ezzel a módszerrel tehát eleve kizárt engedélyezni (mivel elmebeteg lenne az, aki whitelistre tenné az iframe-et).
Ergo az egész BBCode-os mizéria tökéletesen felesleges volt, már eleve az ötlet is agyhalottságra (na jó, inkább rossz koncepcióra) utal, biztonsági szempontból egyáltalán nem előnyösebb, mint a normál tagek, és mint említettem, a tanulásuk is legalább ugyanannyira nehézkes az átlagfelhasználónak; tulajdonképpen arra lennék kíváncsi, az egésznek a kiagyalói milyen mentséget tudnának felhozni maguk védelmére, hogy egyáltalán minek vezették be. Manapság meg aztán végképp semmi nem indokolja a használatát (így Prohardveren sem értem, miért kellett alkalmazkodni ehhez a káros divathoz, amivel igazából magukat is szopatják az egész nehézkessége miatt), mivel Dunát lehet rekeszteni a HTML-kódokat szerveroldalon ilyen-olyan módokon ellenőrző eszközökkel."A blog.hu-n például semmilyen tagek nincsenek, de ha HTML kódot használok, akkor RSS olvasóban megjelenik akár egy formázott Submit button, vagy egy iframe is."
Ez komoly? Tehát a blog.hu-n simán beágyazol egy iframe-et?
Nem használom egyébként a blog.hu-t, így fogalmam sincs a szerkesztői használatáról.
Mert ha ez tényleg lehetséges, akkor az tényleg elég durva, és meglehetősen negatívan jellemzi a blog.hu fejlesztőit."De ilyen alapon akkor a Wiki kódokat is tűzre lehetne dobni."
Ezzel viszont nem értek egyet. A markdown és hasonló használata sokszor tényleg egyszerűbb (ellentétben a BBCode-okkal!), mint a rendes HTML-tagek használata, ráadásul szemléltetőbb, olvashatóbb kódot eredményez.
Csak egy példa: HTML-ben így néz ki egy tisztességes rendezetlen (nem beszámozott) lista:<ul>
<li>Lorem ipsum dolor sit amet, consectetuer adipiscing elit.</li>
<li>Aliquam tincidunt mauris eu risus.</li>
<li>Vestibulum auctor dapibus neque.</li>
</ul>markdown-kóddal:
* Lorem ipsum dolor sit amet, consectetuer adipiscing elit.
* Aliquam tincidunt mauris eu risus.
* Vestibulum auctor dapibus neque.utóbbiban azért tényleg lespóroltál jópár karaktert, és maga a szintaktika is elég beszédes.
Vagy másik példa lehet a belinkelt Wikipédiás oldalon lévő példák közül a szemléletesség miatt a címsorok használata, pl. HTML-ben így néz ki egy elsőszintű és második szintű címsor:
<h1>First-level heading</h1>
<h2>Second-level heading</h2>ez markdownnal:
# First-level heading #
## Second-level heading ##vagy :
First-level heading
===================
Second-level heading
--------------------másik példa a <h4>:
HTML:
<h4>Fourth-level heading</h4>markdown:
#### Fourth-level heading ####Az itt bemásolt példáknál szerintem egész jól látszik, hogy maga a struktúra, a kinézete már utal a funkciójára, mert például a 4. szintű címsort 4 darab kettőskereszt jelzi, az 1. szintűt 1 darab. Ráadásul minél több a kettőskereszt a szöveg előtt, annál beljebb tolódik, ez pedig jól jelzi a "hierarchiában" elfoglalt helyét, tehát ez is beszédes.
[ Szerkesztve ]
Sk8erPeter
Új hozzászólás Aktív témák
Kérdés előtt olvasd el az
összefoglalót!
- Formula-1
- Letartóztatták a bitcoin-Jézust
- VR topik (Oculus Rift, stb.)
- Videós, mozgóképes topik
- antikomcsi: Való Világ: A piszkos 12 - VV12 - Való Világ 12
- Helldivers 2 (PC, PS5)
- Robot fűnyírók
- Kerékpárosok, bringások ide!
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- Autós topik
- További aktív témák...
- Adobe Creative Cloud - 2024. 04. 05 - 2025. 04. 05-ig
- Steames kulcsok jó áron eladóak!
- Microsoft licencek KIVÉTELES ÁRON AZONNAL - UTALÁSSAL IS AUTOMATIKUS KÉZBESÍTÉS - Windows és Office
- Bontatlan - BATTLEFIELD 1 Collectors Edition - Játékszoftver nélkül
- Windows 10/11 Home/Pro , Office OEM/Retail kulcsok
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest