| |
|
|
| | Всем добрый вечер. Перейду сразу к делу. Имеется такая проблема, написал один код с приминением фуцкции или команды не знаю как ее назвать Words.innerHTML и у меня сразу начались проблемы на странице, где есть этот код (только на этой странице больше не где и только в IE) появилась выпадающее меню с рекламой. Я в инете вычетал что это говняная команда, с ее помощью можно провести иньекцию. Вот цитата из статьи:-"Неправильная обработка свойства innerHTML может привести к атакам, связанным со script-инъекциями (XSS) в Internet Explorer, когда HTML-строка содержит вызов <script>, помеченного как отложенный: <script defer>...</script>". Т.е я так понял что кто-то сразуже как я выложил страницу, включил свой код в мою страницу. Подскажите пожалуйста прав или надо искать причину где-то еще. Да и еще один момент у меня на сайте есть код для определения количества посетителей онлайн при помощи сессий. Так вот я заметил что у меня после этого на одного посетителя всегда стало больше. Я просто точно знаю что я один а он стал показывать два. Я в папке куки, нашел кук этого рекламируемогосайта, и там закодирована сессия, это взаимосвязано. Короче написал слишком много, если не так спрасите я дополню. Заранее спасибо | |
| |
|
|
| |
|
|
| |
для: magic
(17.02.2009 в 01:05)
| | | Код в студию.
[поправлено модератором] | |
| |
|
|
| |
|
|
| |
для: sl1p
(17.02.2009 в 01:15)
| | | Это первая часть кода
var description = new Array()
description[0] = "Здесь текс для вывода при клике";
|
Это вторая часть кода
<a href="#" onClick="Words.innerHTML = description[0];">текст ссылки</a>
|
| |
| |
|
|
| |
|
|
| |
для: magic
(17.02.2009 в 01:18)
| | | Очень исчерпывающе.
Какой текст для вывода?
И где берётся Words?
такую инъекцию можно сделать посредством формы но не как через innerHTML | |
| |
|
|
| |
|
|
| |
для: sl1p
(17.02.2009 в 02:00)
| | |
<head>
var description = new Array();
description[0] = "Здесь текст";
description[1] = "Здесь другой текст";
description[2] = "Здесь третий текст";
description[3] = "Здесь четвертый текст";
</head>
|
Это текст для вывода на странице, в зависимости какую ссылку нажмет посетитель тот текс ему и покажется. Это как с изображениями. Текст подгружается и потом выдается посетителю без перезогрузки страницы.
Words-
<body><td id="Words">Здесь выводится текст в зависимости от нажатой ссылки</td>
|
А здесь ссылка:
<td><a href="#" onClick="Words.innerHTML = description[0];">ссылка</a></td>
<td><a href="#" onClick="Words.innerHTML = description[1];">другая ссылка</a></td>
<td><a href="#" onClick="Words.innerHTML = description[2];">третья ссилка</a></td>
<td><a href="#" onClick="Words.innerHTML = description[3];">четвертая ссылка</a></td>
</body>
|
| |
| |
|
|
| |
|
|
| |
для: magic
(17.02.2009 в 15:21)
| | | Могли бы прямо написать, что код содрали. Отсюда, например.
Но переделали с onmouseOVER(OUT) на onclick.
При переделке не учли, что надо добавить return false в каждый onclick:
<a href="#" onClick="Words.innerHTML = description[0]; return false">ссылка</a></td>
|
ибо события mouseOVER(OUT) не имеют действий по умолчанию, а вот клик по ссылке таки имеет действие по умолчанию (переход на другую страницу или на якорь), кое в данном случае вам не нужно.
Пугающее вас
Words.innerHTML = description[0]
|
можно заменить на
Hren.innerHTML = abrakadabra[0]
|
- это всего лишь имена переменных. Разумеется, заменять надо не в одной этой строчке, а везде в коде.
Всё, что вы написали про свою страницу (рекламные блоки и прочие непонятки) к данному скрипт-коду НИКАКОГО отношения не имеют. Никто вам никаких "скрипт-инъекций" под этот скрипт не делал.
Проблема ваша в чём-то другом. | |
| |
|
|
| |
|
|
| |
для: PAT
(17.02.2009 в 15:53)
| | | Нет драть я его оттуда не драл. Но это не важно, Инет кишит. всякими кодами и это не значит что его где то содрал. Ну ладно не важно, а что на счет цитаты в начале, по поводу script-инъекциями (XSS). | |
| |
|
|
| |
|
|
| |
для: magic
(17.02.2009 в 16:19)
| | | Я же написал выше - "Проблема ваша в чём-то другом".
К программированию на HTML+CSS+JS никакого отношения не имеет. | |
| |
|
|
