Запрет выполнения iframe
- Автор темы tonimar
- Дата начала
- Статус
Darkmind
SNMP maniac
- Регистрация
- 31 Май 2006
- Сообщения
- 185
- Реакции
- 82
Iframe не может "выполняться", это не скрипт, а HTML тэг. Я говорю, что это "дырка в странице", в которую подложен другой документ. Объяснение примитивное, но тем не менее.
Такой код на странице при ее открытии сделает "окошко", где будет "проглядывать" яндекс. И код не "выполняется", это браузер видеть тэг Iframe и просто загружает страницу из параметра SRC.
Если кто-то злонамеренно суёт iframe в админке через визуальный редактор, есть два пути: оторвать ему руки или залезть в компонент админки и запретить добавлять тэг iframe. Т.е. проверять всё, что заслал юзер и вырезать неугодные куски.
PHP:
<iframe src="http://www.ya.ru/index.html" width="640" height="480" align="left"></iframe>Если кто-то злонамеренно суёт iframe в админке через визуальный редактор, есть два пути: оторвать ему руки или залезть в компонент админки и запретить добавлять тэг iframe. Т.е. проверять всё, что заслал юзер и вырезать неугодные куски.
- Автор темы
- #3
что такое фрейм я примерно понимаю)) просто не правильно сказал . Это просто делался клон модуля, и как вариант была мысль что все добавленные посты будут проходить модерацию, клонировалось вроде все нормально, но вот посты проходят без модерации, поэтому и спросил или можно обойти. Спасибо за ответ, понял что надо копать в сторону модерации постов
Darkmind
SNMP maniac
- Регистрация
- 31 Май 2006
- Сообщения
- 185
- Реакции
- 82
Не обязательно модерировать.
Есть модуль и в нём есть форма, куда народ что-то пишет. У формы есть обработчик. Можно найти куда попадает содержимое того, что заслал юзер и вырезать из этого содержимого левые и опасные тэги.
Есть модуль и в нём есть форма, куда народ что-то пишет. У формы есть обработчик. Можно найти куда попадает содержимое того, что заслал юзер и вырезать из этого содержимого левые и опасные тэги.
PHP:
// Допустим, это то, что заслал юзер
$content = $_POST['message'];
// Вырезаем всё, кроме кроме ютубовских тегов
$content = strip_tags( $content, '<object><param><embed>' );
// Или удаляем предыдущую строку и режем только iframe
$content = preg_replace('%<iframe[^>]+/?>(?:</iframe>)?|</iframe>%i', '', $content);
// Хотя также я бы советовал резать <script> и прочую лабуду
- Автор темы
- #6
нету , пока мозгов не хватит, но примерно понял решение .
спс- Статус