Добро пожаловать на сайт <БагБД>, где вы можете задавать вопросы о программировании и разработке на Битрикс и Битрикс24, и получать быстрые и квалифицированные ответы от профессионалов!

Что будет если разрешить HTML на форуме?

00 голосов
5
Что будет если разрешить HTML на форуме?
Какие опасности могут быть в этом случае?
Опасно это вообще или нет?
Ведь если что то по идеи проактивная защита должна срабатывать.
Объясните гуру Битрикса плиз :oops:
спросил 15 Июнь, 13 от Gill (720 баллов)

5 Ответы

00 голосов
Не гуру.
Полный набор тегов разрешать не надо, конечно. Остаётся набор вроде <b> - но с этим и bb-код справляется.
Т.е. нужен нужна какая-то специфическая необходимость. У вас такой случай?
ответил 15 Июнь, 13 от Yago (360 баллов)
00 голосов
Опасности html, конечно, в XSS, т.е. подключение скриптов через тег <script>, фреймы или атрибуты любого тега, с последующим вытягиванием кук, выполнением нежелательных действий в браузере, таких как попапы/автопереходы/автоклики и т.д. Есть еще возможность сломать верстку, например тегом <div>, </body> и т.д. Зачем вообще html, если bbcode вполне понятен всем и достаточен для обеспечения функционала?
ответил 29 Июнь, 13 от Eddie (2,060 баллов)
00 голосов
Все дело во вставке видео и именно для этого хочется включить HTML
Битркс кроме YouTube ничего не понимает и это плохо, поэтому нужно вставлять код плейеров с других видео-сервисов вот для этого и нужно включить HTML.
Вот пример кода плейра всем известного видео ресурса _http://dailymotion.com

Код
<object width="480" height="384"><param name="movie" value="http://www.dailymotion.com/swf/video/xdc45c"></param><param name="allowFullScreen" value="true"></param><param name="allowScriptAccess" value="always"></param><embed type="application/x-shockwave-flash" src="http://www.dailymotion.com/swf/video/xdc45c" width="480" height="384" allowfullscreen="true" allowscriptaccess="always"></embed></object>


Это как пример, может и из других ресурсов брать видео.

Что касается тега <script> то он вроде бы убивается проактивной защитой только сейчас попробовал, ну т.е на выходе идет так <sc ript> вроде бы.
ответил 03 Окт, 13 от Gill (720 баллов)
00 голосов
Это вовсе не плохо, поскольку флеш дает довольно обширные возможности для злоумышленников, а ютуб, очевидно как авторитетный источник флеш-видео, вроде как не представляет опасности. Вот было бы удобно, если бы появилась возможность указывать "доверенные" домены для флеша произвольного формата.
ответил 03 Янв, 14 от Eddie (2,060 баллов)
00 голосов
Цитата
Дмитрий Якинцев пишет:
Вот было бы удобно, если бы появилась возможность указывать "доверенные" домены для флеша произвольного формата.


Да или вот так было бы неплохо решить проблему, вбил в настройках форума домен и все - видео доступно, но подозреваю, что это уж очень напряжно для команды Битрикса, они и так перестали развивают свой продукт, все силы брошены на КП .... короче я не туда полез, сори, об этом уже в интернет и так все сказали. Жаль...
ответил 19 Апр, 14 от Gill (720 баллов)

Похожие вопросы

0 голосов
3 ответов
0 голосов
5 ответов
0 голосов
0 ответов
0 голосов
0 ответов