В руководстве Mozilla произошли изменения

Подключаю скрипты с CDN.

По AJAX.

А ведь злостный CDN может туда бесконечный цикл поставить!

Запросто.

Чтобы когда ты вставлял картинки котиков со внешнего сервера они не воровали у тебя всё, что можно.

Когда придумали куки, о последствиях и о будущем появлении фреймов ещё не думали. Очухались через более десятка лет, бугага.

Картинки вставляются с внешних ресурсов

А стилем картинка превращается...

Список в студию.

Куча всяких X-параметров в HTTP, например.

По AJAX.

И что по AJAX? Только AJAX у нас остался? И CSP на него уже не влияет? Который указывает СЕРВЕР?

Когда придумали куки, о последствиях и о будущем появлении фреймов ещё не думали. Очухались через более десятка лет, бугага.

Капитан? Ты по теме давай.

А стилем картинка превращается...

Ну же, продолжи.

Куча всяких X-параметров в HTTP, например.

Не вижу списка.

Только AJAX у нас остался?

В AJAX решето. Было.

И CSP на него уже не влияет? Который указывает СЕРВЕР?

CSP - один из новых костылей.

Ну же, продолжи.

В ссылку на НЁХ «Увеличьте член за 300$». При том, что по клику должна была увеличиваться картинка...

Не вижу списка.

Я тоже.

Ты, походу, не понимаешь.

В ссылку на НЁХ «Увеличьте член за 300$». При том, что по клику должна была увеличиваться картинка...

Покажи мне код, хоть псевдокод того, что ты имеешь в виду и что должно происходить.

Кстати говоря, код, который вообще в принципе увеличивает картинку никуда ты не вставишь, фильтрация входных данных, слышал? Как ты собрался это делать? Чем это отличается от просто картинки со ссылкой на 300баксовоесчастьеидиота?

Покажи мне код, хоть псевдокод того, что ты имеешь в виду и что должно происходить.

Была картинка:

<div id="#photo_container"><img src="http://example.com/thumb1.jpg"/></div>

#photo_container {
 content: "<a href=\"http://enlarge_your_penis_mailru.tk/\" target=\"_blank\'><img src=\"http://enlarge_your_penis_mailru.tk/thumb1.jpg\"></a>";
}

который вообще в принципе увеличивает картинку

Картинка на исходном сайте увеличивается.

Как ты собрался это делать?

Социальная инженерия. Спрашивает нуб-вебмастер на форуме, какой CDN ему лучше подключить. И ему вместо bootstrap.com какой-нибудь bootstrap.nu подсовывают, мол, этот новее и быстрее. Он радостно бежит подключить, а там глубоко в обфусцированном CSS запрятана вот такая муйня. Хрен заметишь даже пристальным взглядом. И заботливо ждёт своего часа. Когда незадачливый вебмастер смекнёт, в чём дело, будут уже сотни обманутых посетителей.

1. Пользовательскому коду никто не даст вставить id, т.к. они должны быть уникальны. Но это неважно.

#photo_container {
 content: "<a href=\"http://enlarge_your_penis_mailru.tk/\" target=\"_blank\'><img src=\"http://enlarge_your_penis_mailru.tk/thumb1.jpg\"></a>";
}

2. а) так оно не работает б) даже если бы работало, как ты собираешься вставить его на сайт? Вот серьёзно. Ты там выше по треду так и не ответил. Это — самое главное. Ты этого не понимаешь. Стиль это не контент. Вставь анонимусу это, о, чудо-хакир.

3. Какой обработчик? Что ты там увеличиваешь, если у тебя в коде 1 картинка?

4. content заменяет содержимое элемента. Твой крутой код, если бы он вставлялся, ничем не будет отличаться от просто <a href=«»><img/></a> прямо в коде.

5. Цепляться к идентификатору JS'ом это никак не помешает. Слышал когда-нибудь про event.preventDefault()? Ну так вот, он там всегда присутствует, т.к. такие увеличивалки обычно в форме <a href=«ссылка»><img/></a>, чтобы не происходило перехода.

Картинка на исходном сайте увеличивается.

5. Что? В твоём примере ничего такого нет. В противном случае смотри выше.

Социальная инженерия. Спрашивает нуб-вебмастер на форуме, какой CDN ему лучше подключить. И ему вместо bootstrap.com какой-нибудь bootstrap.nu подсовывают, мол, этот новее и быстрее. Он радостно бежит подключить, а там глубоко в обфусцированном CSS запрятана вот такая муйня.

Ты это сейчас на полном серьёзе говоришь? Человек, скачавший что-то с левого сайта может получить не то, что хотел? Да ладно? Ты бредишь. А если кто-нибудь скачает исходник на C и бездумно вставит себе в проект, то вообще! Давай запрещать C. В этом примере никакой уязвимости CSS нет.

Пользовательскому коду

С id исходный.

как ты собираешься вставить его на сайт?

Социальная инженерия [3].

Какой обработчик?

Зуммер. На исходном сайте.

Цепляться к идентификатору JS'ом это никак не помешает.

Зуммер находит селектором картинку внутри кода с идентификатором, например. И обработчик повешан на неё.

В твоём примере ничего такого нет.

И не должно быть. Что там было, дела вообще не особо касается.

Человек, скачавший что-то с левого сайта может получить не то, что хотел?

Так он не знает, что это левый.

как ты собираешься вставить его на сайт?

Социальная инженерия [3].

Прекрати говорить слова, значения которых ты не понимаешь. Вставь мне на ЛОРе свой код. Можешь с другим CSS. Кого ты собрался инжинировать? Поле ввода?

Зуммер. На исходном сайте.

Что? У тебя в коде картинка с чужого сайта. Всё. Или ты собрался позволять пользователям жабаскрипт вставлять?

Зуммер находит селектором картинку внутри кода с идентификатором, например. И обработчик повешан на неё.

И что он делает? Картинка уже показана. Что ты там зумить собрался?

Так он не знает, что это левый.

И? Он может и на двойник гитхаба так же попасть. C запрещать то будем уже или что? Как переход по левой ссылке на сайте и возможности CSS связаны?

поддерживается только в Жопере. Ну дык Жопера давно лижет жопу (прости за тавтологию) W3C, они даже все виды инпутов первыми ввели, и что с этого?

Кстати о твоём непонятному выбросе йогурта выше по треду. По ссылке написано:

Whiteboard: [parity-opera][parity-webkit-ish]
webkit

Так что ты там говорил?

Вставь мне на ЛОРе свой код.

Ну я специально для тебя в какой-нибудь очередной юзерстиль впихну:3

Кого ты собрался инжинировать? Поле ввода?

Т УПРЛС. На ЛОРе HTML фильтруется. ПОЛНОСТЬЮ. Какое поле ввода? В посте запостить нереально, разве что уязвимость найти, благо, сырцы открыты.

У тебя в коде картинка с чужого сайта

И ссылка.

Как переход по левой ссылке на сайте и возможности CSS связаны?

Ты ни хрена не понял.

XXX: посоны, я пилю сайт на бутстрапе, можно его с CDN как-то подключить, чтоб быстрее грузилось?
YYY: http://bootstrap.nu/2.05/bootstrap.min.css
XXX: а почему не .com?
YYY: у них сервера в Рашке, пинг меньше будет.
XXX: okay [закрывает тред]

Шо? Когда? С какой версии?

Блин, не люблю говорить такие вещи, но ты реально либо тролль, либо просто идиот. Уже вторую страницу никак не можешь понять того, что тебе несколько человек говорят — через CSS повлиять на DOM невозможно. Нельзя вставить новый тег, нельзя удалить существующий, нельзя поменять значение атрибута тега («href» у ссылки, например) и т.п.. Ну не получится это. Совсем. Никак.

Твои бессмысленные предложения писать в «content» HTML-теги приведут лишь к тому, что эти теги отобразятся как текст и не более того. Только самый упоротый пользователь будет копипастить адреса из таких «тегов» в адресную строку браузера и открывать их.

через CSS повлиять на DOM невозможно.

Это по спецификации. Как во всех браузерах реализуют, ещё неизвестно.

Как во всех браузерах реализуют, ещё неизвестно

Даже делающим IE индусокодерам в голову не придёт после применения стилей по-новой парсить код страницы на случай наличия фиг знает откуда взявшихся изменений. Прекращай тупить и направь свою бурную фантазию в более полезное русло.

6 лет назад пожертвовал 1000 на нормальное определение брака.

Оно стопицот раз перепарсивается при выполнении скриптов, что мешает один раз перепарсить после применения стилей? Один хрен же страница перерендеривается, а модификация Shadow DOM - куда менее ресурсоёмкая операция, причём не заметная пользователю.

*facepalm*

Ну я специально для тебя в какой-нибудь очередной юзерстиль впихну:3

Куда ты их впихнёшь, чудо? Я пишу юзерстили, а не копирую чужие :}

Т УПРЛС. На ЛОРе HTML фильтруется. ПОЛНОСТЬЮ. Какое поле ввода? В посте запостить нереально, разве что уязвимость найти, благо, сырцы открыты.

УПРЛС как раз тут ты. Всё говоришь, что можно внедрить, а внедрить не можешь. О чём ты тогда вообще? О нефильтрованном вводе на сайт? Такого не бывает. Это даже не юзкейс. Вообще. Так о чём ты?

И ссылка.

А просто ссылку в коде поставить религия запрещает? Или ты такой хитрый, ссылку запретил, а стили не парсишь? Это злобное буратинство. См. выше про нефильтрованный ввод. Фильтруется, естественно, по whitelist.

XXX: посоны, я пилю сайт на бутстрапе, можно его с CDN как-то подключить, чтоб быстрее грузилось?
YYY: http://bootstrap.nu/2.05/bootstrap.min.css
XXX: а почему не .com?
YYY: у них сервера в Рашке, пинг меньше будет.
XXX: okay [закрывает тред]

Где здесь уязвимость CSS? Ты бредишь? А ещё я могу написать

http://example.com/goatse.jpg

и написать, что там котики это тоже станет уязвимостью CSS? Феерическая упоротость.

Я тебе справочная что ли? Поищи :)

Я пишу юзерстили, а не копирую чужие :}

Ну то ты. man userstyles.org

Всё говоришь, что можно внедрить, а внедрить не можешь.

Способ нужен. Главное, чтоб дыра была, как её заюзать - дело десятое.

Такого не бывает.

Ещё как бывает. Ты даже не представляешь, сколько в интернете говносайтов, писанных школьниками на коленке.

Фильтруется, естественно, по whitelist.

Так в том-то и дело, что стили во многих редакторах - доверенный элемент.

Где здесь уязвимость CSS?

Это способ её использования.

Ну то ты. man userstyles.org

Ещё и скрипты такие есть, прикинь? А ведь там можно куки воровать!

Способ нужен. Главное, чтоб дыра была, как её заюзать - дело десятое.

Какой способ? Если ты продырил сервер, то вот твоя дырка, CSS там при чём?

Ещё как бывает. Ты даже не представляешь, сколько в интернете говносайтов, писанных школьниками на коленке.

Пропишешь туда <script> и всё. При чём тут они? На них никто не оглядывается и не будет, потому что это невозможно.

Так в том-то и дело, что стили во многих редакторах - доверенный элемент.

Если ты думаешь, что содержимое @style не парсится, то у меня для тебя плохие новости. Причём ты так и не сказал, чем это так опасно по сравнению с обычным HTML. Причём style=«» и <style> это разные вещи. У тебя в примере второе.

Это способ её использования.

JS это способ её использования. SQL-инъекция это способ её использования. Установка направления текста… Ты упорот.

+++ А ещё можно сказать пользователю, что rm -rf ~/ увеличит место на диске и скорость проца. Уязвимость! Удалить! Срочно! Вот что ты говоришь :}

А ведь там можно куки воровать!

Можно. И на этот случай у параноиков и проадминеных ими хомячков есть скрипторезалки, которые ругаюццо. А для стилей ничего такого нет.

Если ты продырил сервер, то вот твоя дырка

А при чём тут дыры на сервере?

Пропишешь туда <script> и всё.

Так <script> фильтруется, о нём все знают. А вот даже инлайн-скрипты - не всегда... Но их просто так не активируешь, тут опять-таки социальная инженерия нужна (к примеру, заставить провести курсором над картинкой).

Если ты думаешь, что содержимое @style не парсится, то у меня для тебя плохие новости.

Опять-таки, смотря где.

Причём ты так и не сказал, чем это так опасно по сравнению с обычным HTML.

А как ты из HTML поменяешь другой HTML?

А ещё можно сказать пользователю, что rm -rf ~/ увеличит место на диске и скорость проца

Кстати, тысячи маководов на шутку про майнер повелись... Но это не уязвимость, ибо уязвимость - это когда код можно выполнить программным путём, тут же голая социальная инженерия. Твой пример - всё равно что заставить юзера руками HTML поменять (хоть даже готовым букмарклетом, но РУКАМИ).

А для стилей ничего такого нет.

Действуй же.

А при чём тут дыры на сервере?

При том, что ты рассказываешь о них и, мотивируя этим, предлагаешь не поддерживать что-то совсем другое.

Так <script> фильтруется, о нём все знают. А вот даже инлайн-скрипты - не всегда...

Да ты упоролся, няша.

А как ты из HTML поменяешь другой HTML?

Зачем тебе менять что-то если ты можешь это что-то написать?

Твой пример - всё равно что заставить юзера руками HTML поменять (хоть даже готовым букмарклетом, но РУКАМИ).

А твой, значит, не руками? Ты бредишь.

Действуй же.

Мне это не нужно. Зачем усомнять лохов в их лоховости? Пускай разводят.

При том, что ты рассказываешь о них

ГДЕ?

Да ты упоролся, няша.

Сам видел такой редактор и даже ломал.

Зачем тебе менять что-то если ты можешь это что-то написать?

Как? Межсерверный CGI пока не практикуется, ибо эпичное ненужно. Всякие виджеты айфреймами практикуются, но то айфреймами.

А твой, значит, не руками? Ты бредишь.

Не руками, конечно. Юзерстили ставятся в два щелчка и злого умысла заведомо не несут.

[facepalm.svg]

Никогда больше не пиши про веб. Серьёзно.

Ты повторяешься.

Что ещё с тобой делать? Ты в двух идентичных случаях назвал одно уязвимостью, а другое — нет. Такое ощущение, что ты по знакомым словам пытаешься нащупать суть, но у тебя не получается.

Ты в двух идентичных случаях назвал одно уязвимостью, а другое — нет.

В каких?

А ещё можно сказать пользователю, что rm -rf ~/ увеличит место на диске и скорость проца

Кстати, тысячи маководов на шутку про майнер повелись... Но это не уязвимость

Причём тут же пишешь про какой-то копипаст неглядя пользователями хакирской технологии CSS. И принятие её неглядя. Причём как-то умудряешься в style=«» вписать #abc { правило }.

про какой-то копипаст неглядя пользователями хакирской технологии CSS

Ты шо курнул? Я про букмарклеты говорил. При чём тут CSS?

букмарклеты

Ты упорот, я же говорю. Проблемы букмарклетов никак не влияют на поддержку браузером или является ли что-либо уязвимостью. Букмарклеты вообще JS, про CSS тут вообще думать уже не надо. Разговор, напомню, был про CSS свойство. В вебе. Да. Ты с кем тут общался, не со мной что ли? Поставь браузер, который запрещает букмарклеты.

Alsoooooo, копипаст в букмарклет это такая же ерунда как и rm -rf, но у тебя они, почему-то, разные.

но у тебя они, почему-то, разные

Букмарклеты тоже не уязвимость. При чём тут CSS? Ты на хрена одни мои слова к другим присобачиваешь?

Слив засчитан.

А ты больно хитрожопый, я смотрю.