1UnitedPower: hab da mal was gebastelt... bitte ausprobieren!

Beitrag lesen

Hakuna matata!

Sind unsere Wiki-Beispiele alle so bösartig geschrieben, dass sich damit XSS-Angriffe durchführen lassen?

Wer weiß, unser Wiki erlaubt auch unangemeldeten Benutzern Artikel zu schreiben und zu bearbeiten. Wer Lust darauf hat, der könnte so einen Angriff problemlos starten.

Und wenn wir schon eine JavaScript-Spielweise bauen, dann sollten wir auch direkt das volle Potenzial ausschöpfen und keine exklusive Lösung für das Wiki bauen, sondern gleich auch an das Forum denken.

Meinst Du mit einem <iframe sandbox="allow-same-origin"> wäre ich besser dran? Inwiefern? Müsste ich dann nicht auch noch "allow-scripts" dazuschreiben, damit mein JS-Code im Iframe ausgeführt wird?

Hm... "allow-scripts" bräuchte man auf jeden Fall, schließlich soll man den Beispielcode auch ausführen dürfen.

"allow-same-origin" darf nicht gesetzt sein, wenn wir den Fiddle-Server unter der selben Domain wie das Wiki betreiben, denn das würde dem Skript erlauben aus der Sandbox auszubrechen. Allerdings wird vom w3c sowieso empfohlen, dass die iframe-URL auf eine andere Domain verweist. In diesem Fall wäre "allow-same-origin" wieder sinnvoll und ich meine auch ungefährlich.

Ich habe ehrlichgesagt ganz schön Bauchschmerzen, wenn ich daran denke, so ein Fiddle-Dingsbums selber zu entwickeln. Ich kann nicht mal sagen, ob das sandbox-Attribut alle Probleme in Punkto Sicherheit lösen kann oder ob man doch besser auf eine ganz eiegene VM setzen muss. Ich sehe mich gar nicht dazu in der Lage überhaupt die diversen Szenarien abzuschätzen und mir ein Bild davon zu machen, welche Sprachfeatures alles missbraucht werden könnten.

Versteh ich mich nicht falsch, ich bin auch sehr dafür, dass wir unser Wiki mit so einer Online-Spielwiese bereichern, ich will nur dazu mahnen, dass wir uns das genau überlegen, bevor wir etwas überstürzen, das uns später enorme Schwierigkeiten einbringen kann. Allen voran möchte ich mal die Frage in den Raum stellen, ob wir bei SELFHTML überhaupt die nötige Expertise aufbringen können, um so einen Service selber zu entwickeln und zu betreiben. Ich bin nicht davon überzeugt und würde doch lieber auf einen Dirttanbieter setzen.

--
“All right, then, I'll go to hell.” – Huck Finn
0 114

attraktivere Beispiele im WIki

Felix Riesterer
  • selfhtml-wiki
  1. 0
    Matthias Scharwies
  2. 0

    hab da mal was gebastelt... bitte ausprobieren!

    Felix Riesterer
    1. 0
      Auge
      1. 0
        Felix Riesterer
        1. 0
          Auge
          1. 0
            Felix Riesterer
      2. 0

        speichern-Button implementiert

        Felix Riesterer
    2. 0
      tami
      1. 0
        Felix Riesterer
    3. 0
      Christian Kruse
      1. 0
        Felix Riesterer
        1. 0
          Christian Kruse
          1. 0
            Felix Riesterer
            1. 0
              Christian Kruse
    4. 0
      Christian Kruse
      1. 0
        Felix Riesterer
        1. 0
          Christian Kruse
          1. 0
            Felix Riesterer
    5. 0
      1UnitedPower
      1. 0
        Felix Riesterer
        1. 0
          1UnitedPower
          1. 0
            Matthias Apsel
            1. 0
              1UnitedPower
              1. 0
                Matthias Apsel
                1. 1
                  Christian Kruse
                  1. 0
                    Felix Riesterer
                    1. 0
                      Christian Kruse
                      1. 1
                        Felix Riesterer
                  2. 0
                    1UnitedPower
                    1. 0
                      Christian Kruse
              2. 0
                Christian Kruse
                1. 0
                  1UnitedPower
                  1. 0
                    Matthias Apsel
          2. 0
            Felix Riesterer
            1. 0
              Matthias Apsel
            2. 0
              1UnitedPower
    6. 0
      Der-Dennis
      1. 0
        Felix Riesterer
    7. 0

      Work in progress...

      Felix Riesterer
      1. 0
        Matthias Apsel
        1. 0
          Matthias Apsel
        2. 0
          Matthias Apsel
        3. 0
          Felix Riesterer
          1. 0
            Felix Riesterer
            1. 0
              Matthias Apsel
              1. 0
                Felix Riesterer
                1. 0
                  Matthias Apsel
                2. 0
                  Matthias Apsel
                  1. 0
                    Felix Riesterer
          2. 0
            Matthias Apsel
            1. 0
              Felix Riesterer
            2. 0

              hover umgesetzt

              Felix Riesterer
    8. 0
      Felix Riesterer
      1. 0
        Matthias Apsel
        1. 0
          Felix Riesterer
          1. 0
            Matthias Apsel
          2. 0
            Tabellenkalk
            1. 0
              Felix Riesterer
              1. 0
                Matthias Apsel
                1. 0
                  Felix Riesterer
                  1. 1
                    Auge
                    1. 0
                      Felix Riesterer
                      1. 0
                        Matthias Apsel
                        1. 0
                          Felix Riesterer
                          1. 0
                            Christian Kruse
                            1. 0
                              Felix Riesterer
                          2. 0
                            Auge
                          3. 0
                            Matthias Apsel
        2. 0
          Felix Riesterer
          1. 0
            Matthias Apsel
            1. 0
              Felix Riesterer
            2. 0
              Felix Riesterer
              1. 0
                Matthias Apsel
                1. 0
                  dedlfix
                  1. 0
                    Felix Riesterer
                2. 0
                  Tabellenkalk
                  1. 0
                    Auge
  3. 0

    Liste aller Beispiele zum live testen

    Felix Riesterer
    1. 0
      Matthias Apsel
      1. 0
        Felix Riesterer
    2. 0
      Felix Riesterer
  4. 0
    Matthias Apsel
    1. 0
      Felix Riesterer
      1. 0
        Matthias Scharwies
    2. 0
      Auge
      1. 0
        Felix Riesterer
  5. 0

    UI vorläufig gertig - Kritik?

    Felix Riesterer
    1. 0
      Der-Dennis
      1. 0
        Felix Riesterer
        1. 0
          Matthias Apsel
          1. 0
            Felix Riesterer
            1. 1
              Camping_RIDER
              1. 1
                Felix Riesterer
    2. 0

      Editorfenster: dynamische Breite vs. Vollbild-Modus

      Camping_RIDER
  6. 0

    Im Test-Wiki schon implementiert!

    Felix Riesterer
    1. 0
      Camping_RIDER
    2. 3

      Jetzt auch im offiziellen Wiki implementiert!

      Felix Riesterer
      1. 0
        Auge
        1. 0
          Matthias Apsel
          1. 0
            Auge
            1. 0
              Christian Kruse
              1. 0
                Auge
                1. 0
                  Felix Riesterer
                  1. 0
                    Auge
                    1. 0
                      Felix Riesterer
                      1. 0
                        Auge
                  2. 0
                    Auge
      2. 0

        externe CSS-Dateien werden berücksichtigt

        Felix Riesterer
        1. 0
          Matthias Apsel
          1. 0
            Felix Riesterer
            1. 0
              Matthias Apsel
              1. 0
                Felix Riesterer
                1. 1
                  dedlfix