2. Fórumok
  3. OS, alkalmazások
  4. Opera böngésző
  5. (kiemelt téma)

Hirdetés

Új hozzászólás Aktív témák

  • #19031 Sk8erPeter nagyúr Penge_4 #19028
    Új Válasz #19031
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Sk8erPeter

    nagyúr

    válasz Penge_4 #19028 üzenetére

    "Én úgy tudtam, hogy azért van, mert biztonságosabbnak tűnt eleve lehetőséget sem adni pl. iframe-ek behívására, mint HTML esetén, ahol ezeket kivétellistára kell tenni és a biztonsági kockázat is nagyobb, hogy iframe-et szúrsz be."
    Nem-nem! Nem kivétellistára kell tenni, hanem pont, hogy whitelistet kell készíteni a MEGENGEDETT tagekből, és CSAK azokat engedni, minden mást kiszűrni. Általában ez a jó megközelítés, nem a blacklist, így a potenciális hibák és veszélyforrások száma jelentősen redukálható. Aztán a tagek szűrése után kiszűrni az összes további veszélyforrást pl. többek közt azzal is, hogy csak bizonyos attribútumokat engedsz meg (csak két példa a sokból: <a> tagnél href és title attribútum megadható, de más nem; <img> tagnél src és title megadható, más nem (az alt attribútum meg esetleg szerveroldalon generálódik a title alapján a validitás miatt); onclick-et pedig gondolom nem kell elmagyaráznom, miért nem lenne jó engedélyezni).
    <iframe>-et ezzel a módszerrel tehát eleve kizárt engedélyezni (mivel elmebeteg lenne az, aki whitelistre tenné az iframe-et).
    Ergo az egész BBCode-os mizéria tökéletesen felesleges volt, már eleve az ötlet is agyhalottságra (na jó, inkább rossz koncepcióra) utal, biztonsági szempontból egyáltalán nem előnyösebb, mint a normál tagek, és mint említettem, a tanulásuk is legalább ugyanannyira nehézkes az átlagfelhasználónak; tulajdonképpen arra lennék kíváncsi, az egésznek a kiagyalói milyen mentséget tudnának felhozni maguk védelmére, hogy egyáltalán minek vezették be. Manapság meg aztán végképp semmi nem indokolja a használatát (így Prohardveren sem értem, miért kellett alkalmazkodni ehhez a káros divathoz, amivel igazából magukat is szopatják az egész nehézkessége miatt), mivel Dunát lehet rekeszteni a HTML-kódokat szerveroldalon ilyen-olyan módokon ellenőrző eszközökkel.

    "A blog.hu-n például semmilyen tagek nincsenek, de ha HTML kódot használok, akkor RSS olvasóban megjelenik akár egy formázott Submit button, vagy egy iframe is."
    Ez komoly? Tehát a blog.hu-n simán beágyazol egy iframe-et?
    Nem használom egyébként a blog.hu-t, így fogalmam sincs a szerkesztői használatáról.
    Mert ha ez tényleg lehetséges, akkor az tényleg elég durva, és meglehetősen negatívan jellemzi a blog.hu fejlesztőit.

    "De ilyen alapon akkor a Wiki kódokat is tűzre lehetne dobni."
    Ezzel viszont nem értek egyet. A markdown és hasonló használata sokszor tényleg egyszerűbb (ellentétben a BBCode-okkal!), mint a rendes HTML-tagek használata, ráadásul szemléltetőbb, olvashatóbb kódot eredményez.
    Csak egy példa: HTML-ben így néz ki egy tisztességes rendezetlen (nem beszámozott) lista:

    <ul>
    <li>Lorem ipsum dolor sit amet, consectetuer adipiscing elit.</li>
    <li>Aliquam tincidunt mauris eu risus.</li>
    <li>Vestibulum auctor dapibus neque.</li>
    </ul>

    markdown-kóddal:

    * Lorem ipsum dolor sit amet, consectetuer adipiscing elit.
    * Aliquam tincidunt mauris eu risus.
    * Vestibulum auctor dapibus neque.

    utóbbiban azért tényleg lespóroltál jópár karaktert, és maga a szintaktika is elég beszédes.
    Vagy másik példa lehet a belinkelt Wikipédiás oldalon lévő példák közül a szemléletesség miatt a címsorok használata, pl. HTML-ben így néz ki egy elsőszintű és második szintű címsor:
    <h1>First-level heading</h1>
    <h2>Second-level heading</h2>

    ez markdownnal:
    # First-level heading #
    ## Second-level heading ##

    vagy :
    First-level heading
    ===================

    Second-level heading
    --------------------

    másik példa a <h4>:

    HTML:
    <h4>Fourth-level heading</h4>

    markdown:
    #### Fourth-level heading ####

    Az itt bemásolt példáknál szerintem egész jól látszik, hogy maga a struktúra, a kinézete már utal a funkciójára, mert például a 4. szintű címsort 4 darab kettőskereszt jelzi, az 1. szintűt 1 darab. Ráadásul minél több a kettőskereszt a szöveg előtt, annál beljebb tolódik, ez pedig jól jelzi a "hierarchiában" elfoglalt helyét, tehát ez is beszédes.

    [ Szerkesztve ]

    Sk8erPeter

Új hozzászólás Aktív témák