Comments 27
Добавьте ссылку на действующий пример.
идея интересная, но вот всю работу с ключевыми словами, я бы вел через Ajax. Весь запрос посетителя отдав скрипту, который из базы повыбирает ссылки на страницы, и выдаст их пользователю.
Через пол-часа будет рабочий пример
UFO just landed and posted this here
Если не сложно, скажите, как это поправить?
Как исключить возможность XSS не знаете?
UFO just landed and posted this here
Уважаемый, повторю свой вопрос чуть по другому. Какими функциями следует обрабатывать чистый referrer, чтобы он стал безопасным?
UFO just landed and posted this here
Уважаемый, поймите, я только рад конструктивным предложениям.
Но если вы банально не знаете как правильно обрабатывать эту уязвимость, так и скажите — не знаю. В этом нет ничего зазорного, ведь человек не может знать всё.
Просто я сомневаюсь что вы намеренно не хотите делиться опытом.
Но если вы банально не знаете как правильно обрабатывать эту уязвимость, так и скажите — не знаю. В этом нет ничего зазорного, ведь человек не может знать всё.
Просто я сомневаюсь что вы намеренно не хотите делиться опытом.
при выводе прямо в разметку:
нужен аналог xmlEncode, заенкодите все спец. символы в XML сущности
в href:
проверьте наличие «http://», если нет, то добавьте — это сломает голый скрипт
Ваша задача — не допустить чтоб какой либо из входящих параметров попал в вывод ввиде рабочего JS скрипта. Фильтруйте, проверяйте, заменяйте.
нужен аналог xmlEncode, заенкодите все спец. символы в XML сущности
в href:
проверьте наличие «http://», если нет, то добавьте — это сломает голый скрипт
Ваша задача — не допустить чтоб какой либо из входящих параметров попал в вывод ввиде рабочего JS скрипта. Фильтруйте, проверяйте, заменяйте.
1 пункт второго абзаца:
«теперь скипт может прочитать» — «теперь скрипт может прочитать»
из ошибок самого скрипта заметил только то, что слово «секс» и «ливам» первый раз открылись как после encode(), т.е. не преобразовались и в случае с «ливам» никакой ссылки «Производственная фирма «Ливам»» я не увидел. Только со второго раза все было нормально.
В целом очень понравилось. Возьму на абордаж заметку.
«теперь скипт может прочитать» — «теперь скрипт может прочитать»
из ошибок самого скрипта заметил только то, что слово «секс» и «ливам» первый раз открылись как после encode(), т.е. не преобразовались и в случае с «ливам» никакой ссылки «Производственная фирма «Ливам»» я не увидел. Только со второго раза все было нормально.
В целом очень понравилось. Возьму на абордаж заметку.
Это скорей всего потому что я в это время вносил небольшие изменения.
Спасибо :)
Спасибо :)
правда я на счет примера не совсем понял (может просто пример такой...):
зачем выводить страницу 404, если можно вывести страницу с поиском по слову секс??? Раз уж есть уверенность, что чел это искал.
зачем выводить страницу 404, если можно вывести страницу с поиском по слову секс??? Раз уж есть уверенность, что чел это искал.
Вот как я это понимаю:
Есть скажем фирма, которая продает «Белазы». Но вдруг один пользователь искал «секс представителями горнодобывающей промышленности» и поисковик каким-то чудом выдал страницу нашего продавца. В этом случае мы ничего хорошего ему посоветовать не можем и просто предлагаем карту сайта и главную страницу.
Есть скажем фирма, которая продает «Белазы». Но вдруг один пользователь искал «секс представителями горнодобывающей промышленности» и поисковик каким-то чудом выдал страницу нашего продавца. В этом случае мы ничего хорошего ему посоветовать не можем и просто предлагаем карту сайта и главную страницу.
это что же, надо держать базу слов, по которым можно искать (белый список)???
или выполнять поиск по сайту и уже в случае неудачи выдавать 404?
или выполнять поиск по сайту и уже в случае неудачи выдавать 404?
Получается, что надо для каждого сайта прописывать свой белый список руками.
вот это не рационально. таких слов может быть ОЧЕНЬ много. Возьмем к примеру сайт с более, чем одной тематикой.
я думаю, надо поиском по сайту пройтись.
еще вариант — сразу выдать урезанную (основную) карту сайта
я думаю, надо поиском по сайту пройтись.
еще вариант — сразу выдать урезанную (основную) карту сайта
Вообще да, согласен. Эта страница расчитана на сайты-визитки или каталоги продукции небольших фирм.
в таком случае предлагаю поставить мне плюсик )))
и поговорить о более правильной реализации 404, подходящей к нормальным многостраничным сайтам.
дело в том, что не факт, что поиск еще найден что-то на сайте со словом «секс»
а в мини-карте сайта человек тоже ничего сексуального не найдет )))
быть может ему еще и в гугле поискать и чуть ниже выдать ))))))))))))))
прямо мемуары получатся, в общем надо еще подумать над сокращением информации.
для начала уберем заголовок ОШИБКА 404!
и поговорить о более правильной реализации 404, подходящей к нормальным многостраничным сайтам.
дело в том, что не факт, что поиск еще найден что-то на сайте со словом «секс»
а в мини-карте сайта человек тоже ничего сексуального не найдет )))
быть может ему еще и в гугле поискать и чуть ниже выдать ))))))))))))))
прямо мемуары получатся, в общем надо еще подумать над сокращением информации.
для начала уберем заголовок ОШИБКА 404!
А зачем нажимать на кнопку для отправки сообщения о битой ссылке? Ведь можно это делать автоматически.
Вы конечно извините, но по-моему там слишком много слов
Sign up to leave a comment.
Совершенная страница 404