作者mamaya3 (mamaya)
看板Minecraft
标题Re: [情报] 伺服器状态列表
时间Thu Nov 5 15:23:02 2015
想了一下 为避免又有新警察出来 还是回个文好了
刚刚看了一下svlist 发现有人植入了javascript然後说是漏洞 :(
其实这情况在开放描述栏位可以使用html时我就预想过了 但考量资料填写的弹性後我决定
开放 这样sv可以有更多demo的弹性 事实上也有某些sv将这栏位用得出乎我意料之外
通常管理者在登录sv info时合理使用一些语法我是不介意 (甚至还有overwrite css)
这样低调使用一来我省下帮忙处理多媒体的麻烦(要我帮忙上传icon? yt影片? 别闹了)
二来临时sv有特殊状况 还可以靠些偏门修正回来
但是直接大剌剌在网页alert讯息就很over了
首先 很多sv资料登录者都知道可以这样搞 所以如果说是要提醒而插入js 显然是没搞
清楚状况 或是说可能是第81354915个知道可以插js的使用者
再来 提醒方式有很多 高调贴个alert给所有浏览者看却绝对是下策 一个告诉大家有洞
快来挖的概念?
之前有人跟我讨论关於svlist的事情 有两个方式 都不会影响到其他人
1. ptt寄信
2. 在desc内插 comment
我现在大概一星期才会看一下svlist 这段时间其他人要看多少次被内插的"神奇"alert?
根据上面原因 目前的处置如下
1. 把插入js的sv关闭, 等待有人解释插入理由
2. desc的html功能 要插入方式太多了 与其这样只能html全禁 但其他有使用的sv大概会
恨某人一阵子吧 所以目前仍不做更动 我相信当大部分伺服主都知道什麽该做或不该做
但如果还是有滥用情节 最严重情况就是将所有网页移除.. 希望不要走到这步 :Q
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.134.164.249
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Minecraft/M.1446708184.A.6EC.html
1F:推 bespace: 咩o'_'o 11/05 16:16
2F:→ CP64: 其实可以考虑用 BBCode 之类的东西替代掉 html 语法? 11/05 16:58
3F:推 twosheep0603: BBCode其实也有img hack 不过要防相对简单不少 11/05 17:22
4F:→ mamaya3: 其实还有发生过一些状况 不是用BBCode就能补正的 11/05 18:03
5F:推 sa103446: 跳alert讯息,是指弹出广告还是啥呀?@@ 11/05 20:01
6F:→ CP64: 就... javascript:(function(){alert("这是alert");})(); 11/06 01:31
7F:→ mmis1000: 用html sanitizer禁掉js阿,还是可以保留css之类的 11/06 14:08
8F:→ mmis1000: 可以白名单那些tag能用 11/06 14:08
9F:→ mamaya3: 这网页不是拿来玩安全防护用的 况且source都给了 想改的 11/06 16:35
10F:→ mamaya3: 人 可以自行下载去玩 ._. 11/06 16:36
11F:推 Frozenmouse: 最後大绝就是只能放连结,宣传页请自己想办法架了… 11/08 22:08
12F:→ Frozenmouse: 给方便当随便 ._. 11/08 22:09
13F:→ neoltw: 请问为何我注册伺服器列表 他一直显示关闭 我明明开着 11/10 11:52
14F:→ mamaya3: 没有log纪录的server会在每日0时, 12时重新检查 如果是刚 11/10 14:21
15F:→ mamaya3: 注册的server 需要等待这段时间 刚刚我先手动更新纪录了 11/10 14:22