Linuchs: eingebundene Ressourcen sollen nicht auf HTML-Code zugreifen können

problematische Seite

Moin,

wer ein Kartenwerk oder Youtube in sein HTML-Dokument einbettet, bietet dem Javascript-Fremdcode ungehinderten Zugang zum eigenen Code. Und es werden Daten geladen, die den Leser womöglich nicht interessieren, aber Zeit in Anspruch nehmen und den Seitenaufbau verzögern.

Ich mache es nun so, dass erst bei Klick die Fremddaten geladen werden.

Vorteil: Die Seite steht schneller bereit,

Nachteil: Die Karte, das Standbild wird nicht angezeigt.

Frage 1: Gibt es die Möglichkeit, innerhalb des HTML-Dokuments fremde Daten in einen „Käfig“ zu sperren? Nennt man sowas „Sandbox“?

Ich meine kein iframe, da muss ich ja ein weiteres HTML-Dokument vorhalten.

Frage 2: Kann man Youtube einmalig bei Eingabe eines Termins das Standbild entlocken, um es zu speichern und ohne Youtube-Kontakt anzuzeigen?

Schon gewußt? Obwohl ein engebettetes Youtube-Video mit <!-- --> auskommentiert ist, werden die Daten vom Firefox geladen, aber nicht angezeigt. Der Ladevorgang wird auf der Konsole [Strg][Shift][K] dokumentiert.

Gruß, Linuchs

  1. problematische Seite

    Vorteil: Die Seite steht schneller bereit,

    Nachteil: Die Karte, das Standbild wird nicht angezeigt.

    Was außer den Ideen der "Rechteindustrie" hindert Dich daran, eine eigene Vorschau einzubinden und "onclick" zu ersetzen?

    Frage 1: Gibt es die Möglichkeit, innerhalb des HTML-Dokuments fremde Daten in einen „Käfig“ zu sperren?

    Dein Problem könnte darin bestehen, dass die "fremden Daten" wohl Skripte sind, welche gerade an der Darstellung Deiner Seite irgendwelche Änderungen vornehmen sollen.

    Nennt man sowas „Sandbox“?

    Sowas nennt man „Sandbox“.

    1. problematische Seite

      Was außer den Ideen der "Rechteindustrie" hindert Dich daran, eine eigene Vorschau einzubinden und "onclick" zu ersetzen?

      Der Aufwand. Im Kalender gibt es hunderte von Veranstaltungsorten, da müsste ich für jeden (und immer wieder für neu hinzukommende) ein Bildschirmfoto machen und mit Gimp bearbeiten.

      Und dann noch das Risiko von Abmahnungen eingehen. Das hatte ich schon einmal, als ich für einen Kunden eine Anfahr-Skizze von einem „kostenlosen“ Map-Service eingebaut habe. Ich wollte das vor Gericht klären, denn die Skizze hätte man mehreren Domains entnehmen können. Kunde hat Muffensausen bekommen, bezahlt und mir die Hälfte aufgedrückt. Das waren ca. 100 € Schaden für mich.

      Ebenso (Aufwand mit Gimp) für das Standbild von Videos, die eher einmalig eingebunden werden.

      Dein Problem könnte darin bestehen, dass die "fremden Daten" wohl Skripte sind, welche gerade an der Darstellung Deiner Seite irgendwelche Änderungen vornehmen sollen.

      Genau. Die .js Dateien von Open Street Map oder Google sollen ja die Karte anzeigen, aber ich kann nicht kontrallieren, was sie sonst noch auslesen und nach Hause telefonieren.

      Bei Youtube noch schlimmer, die schleusen .js-Dateien von anderen Domains ein. Kann man ja auf der Konsole [Strg][Shift][K] beim Firefox mitverfolgen.

      Seit einigen Monaten ist der Leitfaden für meine Seiten: Nur noch von der eigenen Domain laden, es sei denn, der Leser / Hörer klickt bewusst das Laden externer Dokumente an. Alte Programme werden nach und nach umgestellt.

      Das klappt dann nur mit Javascript, aber die Anzeige vom Maps und Videos auch, ist also kein Verlust für JS-Abschalter.

      Gibt es die Möglichkeit, per PHP das Standbild eines Videos zu empfangen? Vergleichbar mit dem Anfordern eines headers?

      Linuchs

      1. problematische Seite

        Gibt es die Möglichkeit, per PHP das Standbild eines Videos zu empfangen? Vergleichbar mit dem Anfordern eines headers?

        Solange es mit purem http[s] geht kann curl "alles außer enthaltenes Javascript abarbeiten".

      2. problematische Seite

        Hallo,

        Die .js Dateien von Open Street Map oder Google sollen ja die Karte anzeigen, aber ich kann nicht kontrallieren, was sie sonst noch auslesen und nach Hause telefonieren.

        die leaflet.js ist ja noch recht übersichtlich, und wenn du sie selbst hostest, überträgst du keine Daten an das CDN und hast auch die Kontrolle über Updates. Und wenn du willst, kannst du sogar die OSM-Tiles selbst hosten.

        Gruß
        Jürgen

        1. problematische Seite

          Hallo JürgenB,

          aprops Leaflet, ich habe jetzt die Karten für die Events repariert. Danke für dein Iframe in der Übergangszeit 😀

          Freundliche Grüße,
          Christian Kruse