Показать сообщение отдельно
Старый 07.10.2012, 04:08   #19
Aels
 
Аватар для Aels
 
Регистрация: 24.12.2010
Сообщений: 16
Репутация: 2
По умолчанию

Корни баги растут из 3х обстоятельств.
1) Origin для data:содержимого дается не пустой (как в хроме), а породившего домена.
2) data:урлы разрешены в заголовках Location и Refresh.
3) Видимо хитрая оптимизация загрузки, когда при перезагрузке страницы из запросов выбрасывается _вся_ цепочка location-редиректов. Например рисунок, вставленный на страницу, по адресу которого отдается location: http://site.com<...>, после F5 будет сразу запрошен с site.com, при условии что в первый раз site.com ответил "200 OK". (еще необходимо разрешенное кеширование, кажется). Как-то так.

На origin data-урлов внимание обращалось неоднократно, последний раз кажется месяц назад, упоминал .mario (@0x6D6172696F http://html5sec.org/).
Так и не нашел в спецификациях явного указания, к какому домену относить такие урлы, так что выбор остается на вкус разработчиков конкретных движков.

В приватах оно действительно некоторое время было известно.

Цитата:
Сообщение от slider Посмотреть сообщение
Стало быть вопрос лежит так - "можно ли \ как отключить javascript во фрейме".
LeverOne-а бы мнение услышать, в своё время он очень помог мне с задачкой с фреймами и изменние их содержимого.
нужно прочесть:
http://www.w3.org/TR/2010/WD-html5-20100624/the-iframe-element.html#attr-iframe-sandbox
http://www.w3.org/TR/html-markup/datatypes.html#common.data.sandbox-allow-list
Цитата:
sandbox HTML5 only
If specified as an empty string, this attribute enables extra restrictions on the content that can appear in the inline frame. The value of the attribute can be a space-separated list of tokens that lift particular restrictions. Valid tokens are:
allow-same-origin: Allows the content to be treated as being from its normal origin. If this keyword is not used, the embedded content is treated as being from a unique origin.
allow-top-navigation: Allows the embedded browsing context to navigate (load) content to the top-level browsing context. If this keyword is not used, this operation is not allowed.
allow-forms: Allows the embedded browsing context to submit forms. If this keyword is not used, this operation is not allowed.
allow-scripts: Allows the embedded browsing context to run scripts (but not create pop-up windows). If this keyword is not used, this operation is not allowed.
но это все равно не поможет, потому что совсем недавно главная отдавалась с x-frame-заголовком (сейчас он куда-то делся 0_о )
поэтому смотри в сторону m.vk.com, а лучше в другие сайты.

зы.
Цитата:
Сообщение от M_script Посмотреть сообщение
Aels, sandbox не поддерживается оперой
этот момент я упустил( правда твоя.

Последний раз редактировалось Aels; 07.10.2012 в 05:42..
Aels вне форума   Ответить с цитированием