Архив форума ЛГ - Почему не надо игнорировать тему Sayuri про кавычки

Почему не надо игнорировать тему Sayuri про кавычки

Ishamael

Назад к темам раздела.

2015-08-12 03:07:53

Ishamael

Потому что если я напишу в чат некоторому гипотетическому персонажу Argon следующее сообщение:

priv(Ishamael, Argon, "><script>location.href=/ch/+/chinp1.php?chn=0&a=аргон -- нуб/</script>)

То Аргону в чат в действительности придет следующее сообщение:

priv(Ishamael, Argon, "><script>location.href=/ch/+/chinp1.php?chn=0&a=аргон -- нуб/</script>)

(" заменится на ") Если теперь Аргон ответит на это сообщиние, то все, что идет после кавычки и закрывающейся угловой скобки зарезолвится как HTML, и у него локально выполнится скрипт из этого сообщения. В частности, в данной ситуации он напишет в чат, что он нуб.

Мы протестировали это с толпой по пути в Иную Реальность пару дней назад, было установлено, что Chrome не позволяет выполнить такой скрипт (потому что он приходит из Get параметров), но ослик и firefox выполняют скрипт.

Кролик в инфу за раскопки приветсвуется.

2015-08-23 10:56:06

Argon

Ishamael
Спасибо за указание важного бага, был в отпуске - оттуда чат не работал и править его было нереально

, постараюсь в ближайшие дни исправить...

2015-08-26 08:47:10

Ishamael

Argon
Непонятно, почему Sayuri кролик предлагается, а мне -- нет, хотя мы страдали от одного и того же бага, а я еще его и покопал!

2015-08-26 08:56:36

Argon

Ishamael
конечно предлагается, даже на выбор...

2015-08-26 09:06:39

Ishamael

Argon
Возьму удачу :о)
Вопрос -- если кто-то у кого уже есть кролик найдет еще эпичные баги, ему положен еще один кролик, другого типа?