- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Itt az első kép a 2024-es Nokia 3210-ről
- Készülőben a Xiaomi 2021-es csúcsmodelljeinek HyperOS frissítése
- Redmi Note 13 Pro+ - a fejlődés íve
- Samsung Galaxy A54 - türelemjáték
- Yettel topik
- Oppo Find X5 Pro - megtalálták
- iPhone topik
- Honor Magic6 Pro - kör közepén számok
- Fotók, videók mobillal
Hirdetés
-
Saját Redmi Note 13 Pro+ a világbajnok focicsapatnak (és indiai rajongóiknak)
ma Argentína nemzeti válogatottjának mezével díszítik az új Redmi különkiadást.
-
Lenovo Essential Wireless Combo
lo Lehet-e egy billentyűzet karcsú, elegáns és különleges? A Lenovo bebizonyította, hogy igen, de bosszantó is :)
-
Premier előzetesen a Gray Zone Warfare
gp A mai naptól hivatalosan is elrajtol a játék korai kiadása PC-n.
-
Mobilarena
Új hozzászólás Aktív témák
-
Sk8erPeter
nagyúr
válasz Penge_4 #19028 üzenetére
"Én úgy tudtam, hogy azért van, mert biztonságosabbnak tűnt eleve lehetőséget sem adni pl. iframe-ek behívására, mint HTML esetén, ahol ezeket kivétellistára kell tenni és a biztonsági kockázat is nagyobb, hogy iframe-et szúrsz be."
Nem-nem! Nem kivétellistára kell tenni, hanem pont, hogy whitelistet kell készíteni a MEGENGEDETT tagekből, és CSAK azokat engedni, minden mást kiszűrni. Általában ez a jó megközelítés, nem a blacklist, így a potenciális hibák és veszélyforrások száma jelentősen redukálható. Aztán a tagek szűrése után kiszűrni az összes további veszélyforrást pl. többek közt azzal is, hogy csak bizonyos attribútumokat engedsz meg (csak két példa a sokból: <a> tagnél href és title attribútum megadható, de más nem; <img> tagnél src és title megadható, más nem (az alt attribútum meg esetleg szerveroldalon generálódik a title alapján a validitás miatt); onclick-et pedig gondolom nem kell elmagyaráznom, miért nem lenne jó engedélyezni).
<iframe>-et ezzel a módszerrel tehát eleve kizárt engedélyezni (mivel elmebeteg lenne az, aki whitelistre tenné az iframe-et).
Ergo az egész BBCode-os mizéria tökéletesen felesleges volt, már eleve az ötlet is agyhalottságra (na jó, inkább rossz koncepcióra) utal, biztonsági szempontból egyáltalán nem előnyösebb, mint a normál tagek, és mint említettem, a tanulásuk is legalább ugyanannyira nehézkes az átlagfelhasználónak; tulajdonképpen arra lennék kíváncsi, az egésznek a kiagyalói milyen mentséget tudnának felhozni maguk védelmére, hogy egyáltalán minek vezették be. Manapság meg aztán végképp semmi nem indokolja a használatát (így Prohardveren sem értem, miért kellett alkalmazkodni ehhez a káros divathoz, amivel igazából magukat is szopatják az egész nehézkessége miatt), mivel Dunát lehet rekeszteni a HTML-kódokat szerveroldalon ilyen-olyan módokon ellenőrző eszközökkel."A blog.hu-n például semmilyen tagek nincsenek, de ha HTML kódot használok, akkor RSS olvasóban megjelenik akár egy formázott Submit button, vagy egy iframe is."
Ez komoly? Tehát a blog.hu-n simán beágyazol egy iframe-et?
Nem használom egyébként a blog.hu-t, így fogalmam sincs a szerkesztői használatáról.
Mert ha ez tényleg lehetséges, akkor az tényleg elég durva, és meglehetősen negatívan jellemzi a blog.hu fejlesztőit."De ilyen alapon akkor a Wiki kódokat is tűzre lehetne dobni."
Ezzel viszont nem értek egyet. A markdown és hasonló használata sokszor tényleg egyszerűbb (ellentétben a BBCode-okkal!), mint a rendes HTML-tagek használata, ráadásul szemléltetőbb, olvashatóbb kódot eredményez.
Csak egy példa: HTML-ben így néz ki egy tisztességes rendezetlen (nem beszámozott) lista:<ul>
<li>Lorem ipsum dolor sit amet, consectetuer adipiscing elit.</li>
<li>Aliquam tincidunt mauris eu risus.</li>
<li>Vestibulum auctor dapibus neque.</li>
</ul>markdown-kóddal:
* Lorem ipsum dolor sit amet, consectetuer adipiscing elit.
* Aliquam tincidunt mauris eu risus.
* Vestibulum auctor dapibus neque.utóbbiban azért tényleg lespóroltál jópár karaktert, és maga a szintaktika is elég beszédes.
Vagy másik példa lehet a belinkelt Wikipédiás oldalon lévő példák közül a szemléletesség miatt a címsorok használata, pl. HTML-ben így néz ki egy elsőszintű és második szintű címsor:
<h1>First-level heading</h1>
<h2>Second-level heading</h2>ez markdownnal:
# First-level heading #
## Second-level heading ##vagy :
First-level heading
===================
Second-level heading
--------------------másik példa a <h4>:
HTML:
<h4>Fourth-level heading</h4>markdown:
#### Fourth-level heading ####Az itt bemásolt példáknál szerintem egész jól látszik, hogy maga a struktúra, a kinézete már utal a funkciójára, mert például a 4. szintű címsort 4 darab kettőskereszt jelzi, az 1. szintűt 1 darab. Ráadásul minél több a kettőskereszt a szöveg előtt, annál beljebb tolódik, ez pedig jól jelzi a "hierarchiában" elfoglalt helyét, tehát ez is beszédes.
[ Szerkesztve ]
Sk8erPeter
Új hozzászólás Aktív témák
Kérdés előtt olvasd el az
összefoglalót!
- gban: Ingyen kellene, de tegnapra
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Politika
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- LEGO klub
- Itt az első kép a 2024-es Nokia 3210-ről
- YouTube
- E-book olvasók
- Horgász topik
- Magyarországra is megérkezik az LG új okosmonitora
- További aktív témák...