Question

Что будет если разрешить HTML на форуме?
Какие опасности могут быть в этом случае?
Опасно это вообще или нет?
Ведь если что то по идеи проактивная защита должна срабатывать.
Объясните гуру Битрикса плиз :oops:

Answer 1

Не гуру.
Полный набор тегов разрешать не надо, конечно. Остаётся набор вроде <b> - но с этим и bb-код справляется.
Т.е. нужен нужна какая-то специфическая необходимость. У вас такой случай?

Answer 2

Опасности html, конечно, в XSS, т.е. подключение скриптов через тег <script>, фреймы или атрибуты любого тега, с последующим вытягиванием кук, выполнением нежелательных действий в браузере, таких как попапы/автопереходы/автоклики и т.д. Есть еще возможность сломать верстку, например тегом <div>, </body> и т.д. Зачем вообще html, если bbcode вполне понятен всем и достаточен для обеспечения функционала?

Answer 3

Все дело во вставке видео и именно для этого хочется включить HTML
Битркс кроме YouTube ничего не понимает и это плохо, поэтому нужно вставлять код плейеров с других видео-сервисов вот для этого и нужно включить HTML.
Вот пример кода плейра всем известного видео ресурса _http://dailymotion.com

Код

<object width="480" height="384"><param name="movie" value="http://www.dailymotion.com/swf/video/xdc45c"></param><param name="allowFullScreen" value="true"></param><param name="allowScriptAccess" value="always"></param><embed type="application/x-shockwave-flash" src="http://www.dailymotion.com/swf/video/xdc45c" width="480" height="384" allowfullscreen="true" allowscriptaccess="always"></embed></object>

Это как пример, может и из других ресурсов брать видео.

Что касается тега <script> то он вроде бы убивается проактивной защитой только сейчас попробовал, ну т.е на выходе идет так <sc ript> вроде бы.

Answer 4

Это вовсе не плохо, поскольку флеш дает довольно обширные возможности для злоумышленников, а ютуб, очевидно как авторитетный источник флеш-видео, вроде как не представляет опасности. Вот было бы удобно, если бы появилась возможность указывать "доверенные" домены для флеша произвольного формата.

Answer 5

Цитата
Дмитрий Якинцев пишет: Вот было бы удобно, если бы появилась возможность указывать "доверенные" домены для флеша произвольного формата.

Да или вот так было бы неплохо решить проблему, вбил в настройках форума домен и все - видео доступно, но подозреваю, что это уж очень напряжно для команды Битрикса, они и так перестали развивают свой продукт, все силы брошены на КП .... короче я не туда полез, сори, об этом уже в интернет и так все сказали. Жаль...