Через XSS опытные злоумышленники интегрируют в страницы сайтов-жертв работающие на них скрипты, выполняемые в момент посещения зараженных ресурсов. Существует несколько видов XSS-уязвимостей, представляющих различную степень опасности.
Особенности пассивной и активной уязвимости
Наиболее осторожно стоит относиться к активной уязвимости. Когда злоумышленник внедряет свой SQL-код в доступную базу либо файл на сервер, жертвой может стать каждый посетитель зараженного ресурса. Такие места часто интегрируются, поэтому даже обработанные вашей защитой данные, хранящиеся в БД, могут по-прежнему представлять определенную опасность.
Создание пассивной XSS-уязвимости требует от злоумышленника определенной изобретательности. Либо вас заманивают на подставной ресурс всевозможными ссылками, либо пытаются любыми способами переадресовать на требуемый сайт. Обычно это происходит через письма от вымышленной администрации посещаемой вами страницы, с запросами проверки настроек аккаунта. Также активно используется разнообразные спам-рассылки или посты на широко посещаемых форумах.
Пассивная XSS-уязвимость может исходить как от POST так и от GET-параметров. Для первых характерен ряд различных ухищрений, для вторых – кодировка url-строки либо вставка дополнительных значений.
Похищение Cookies
Чаще всего именно ваши Cookies становятся целью проводимой XSS атаки. Иногда в них остается ценная информация, включающая логины и пароли пользователей либо их хэш. Но достаточно опасны и совершения краж активных сессий важных для вас сайтов, поэтому не стоит забывать нажимать на кнопку «выход» даже при посещении сайтов с домашнего компьютера. Хотя большинство ресурсов для предотвращения подобных действий используют автоматическое ограничение длительности сессии. Доменные же ограничения XMLHttpRequest от таких атак не спасают.
Данные из заполняемых форм
Пользуется популярностью и считывание информации в заполняемых формах. Для этого на вызывающих интерес страницах выполняется отслеживание событий (onsubmit), а все предоставляемые данные пересылаются также и на сервера злоумышленников. Такие атаки во многом схожи с фишинговыми, но кража происходит не на поддельном, а на реальном сайте с хорошей репутацией.
Распределенные DDoS-атаки
Для атак через XSS используются и многопосещаемые ресурсы. Благодаря XSS-уязвимости выполняется переадресация приходящих на них запросов на взламываемый сервер, в результате чего его защита не выдерживает.
Поддельные межсайтовые запросы (CSRF/XSRF)
У них также мало общего с XSS. Это отдельная разновидность уязвимостей, используемых в сочетании с XSS. Их целью является завлечение авторизованного пользователя с неуязвимого сайта на подставную уязвимую страницу для проведения обманных операций. Например, клиента, использующего электронную систему платежей, выманивают на уязвимый сайт, переводящий деньги на счета злоумышленников. Поэтому в большинстве платежных систем предусмотрена защита путем дополнительного введения пароля либо подтверждающего операцию кода.
Внедрение XSS-червей
Такая XSS атака на сайт появилась с развитием известных соцсетей (Вконтакте, Twitter и других). Через них целые группы пользователей получают уязвимые XSS ссылки с интегрированными скриптами, рассылающими по сетям спам от их имени. Также широко практикуется и попутное копирование личной информации и фотографий на ресурсы злоумышленников.
Примеры безобидных XSS
Заметим, что многие типы счетчиков также выполняют роль активных XSS. С них ведется передача данных о регистрирующихся посетителях (их IP-адреса, данные об используемом оборудовании).
Только данный код интегрируется у вас в компьютере по вашей же воле. К другим подобным XSS можно смело отнести целый ряд кроссдоменных AJAX-запросов.
В связи с ведением данного блога, периодически приходится вставлять на сайт фрагменты html и css кода. В процессе реализации нормального решения, выяснилось что адекватного описания готовых решений на русском языке почему-то не найти, так что восполнить пробел придётся самостоятельно.
Начнём с простого:
Как вставить в текст html-код?
Для вставки в текст на сайте одного - двух тегов можно использовать html символы < для вставки < и символ > для вставки > таким образом, тег В html коде пишется как
Вставка больших фрагментов кода на сайт.
Для вставки самого html-кода на сайт, существуют три тега:
И и
Тег Обозначает блок предварительно отформатированного текста. То есть текста, в котором уже расставлены все пробелы, и переносы. По дефолту в браузере содержимое тега Отображается моноширинным (monospace) шрифтом и со всеми пробелами между словами. В теге Отображаются все пробелы, и учитываются все переносы строки (html по умолчанию не учитывает несколько пробелов, преобразуя их в один). Внутри контейнера Можно применять любые теги кроме следующих: , ![]()
, , , и .
Следующий тег — специально предназначен для экранированного отображения программного кода. По дефолту в браузере содержимое тега отображается мелким моноширинным текстом. Тег не учитывает дополнительные проблелы и переносы текста, в результате чего для переноса строки необходимо использовать теги
и
Тег Не является валидным с точки зрения стандарта html, однако, на данный момент поддерживается всеми браузерами. Тег отображает содержимое контейнера как обычный текст со всеми пробелами и переносами. До момента «канонизации» тега, использование его считается некошерным и еретическим.
Правильным на текущий момент решением является использование тега С вложенными в него тегами в местах, где это необходимо. Технически, тег нам необходим для экранирования фрагментов кода, которые по той или иной причине выпадают из тега
Как красиво оформить html-код посредством Jquery?
На нашем сайте мы используем скрипт Snippet . Сниппет предназначен для упрощения визуального оформления примеров программного кода. Работа скрипта выглядит следующим образом:
Div.blog_right h2 {
font-size: 24px;
color: #ff9933;
margin-bottom: 9px;
line-height: 44px;
font-family: "arial", "verdana", sans-serif, "Lucida Sans";
font-weight: 100;
margin-top: 0.83em;
}
Подключение скрипта оформления кода:
2) Подключаем файлы js и css. Так же, понадобится подключенная библиотека Jquery.
3) Настраиваем скрипт:
$(document).ready(function(){
$("pre.htmlCode").snippet("html",{style:"acid"});
// Ищем тэги С классом "htmlCode"
// и подключаем к этим элементам стиль acid и обработку html
$("pre.styles").snippet("css",{style:"acid"});
// Ищем тэги С классом "styles"
// и подключаем к этим элементам стиль acid и обработку для CSS кода
$("pre.js").snippet("javascript",{style:"acid"});
// Ищем тэги С классом "js"
// и подключаем к этим элементам стиль acid и обработку для
});
4) Более навороченная документация для скрипта есть на сайте разработчиков . Скрипт может менять оформление на лету, выделять необходимые куски кода в рамочки, выносить мусор и готовить еду.
Хостинг. Готовые шаблоны сайтов.
a {text-decoration: none; font-size: 8pt; color: #E0FDAF; }
a: hover {text-decoration: underline; font-size: 8pt; color: #E0FDAF; }
font { font-family: Arial, Tahoma, Helvetica; font-size: 8pt; color: white; }
b. yellow {color: #FAF294; }
hr {color: #D1D33B; }
hr. bw {color: black; }
font. green { font-family: Arial, Tahoma, Helvetica; font-size: 8pt; color: #B5FC39; }
font. title { font-family: Arial, Tahoma, Helvetica; font-size: 14pt; color: #ffffff; }
font. title1 { font-family: Arial, Tahoma, Helvetica; font-size: 16pt; color: black; }
font. title2 { font-family: Arial, Tahoma, Helvetica; font-size: 20pt; color: #D2A801; }
font. title3 { font-family: Arial, Tahoma, Helvetica; font-size: 14pt; color: black; }
font. title4 { font-family: Arial, Tahoma, Helvetica; font-size: 16pt; color: white; }
font. black { font-family: Arial, Tahoma, Helvetica; font-size: 8pt; color: black; }
font. blackt { font-family: Arial, Tahoma, Helvetica; font-size: 14pt; color: #ffffff; }
font. blacklm { font-family: Arial, Tahoma, Helvetica; font-size: 8pt; color: black; }
font. blacklm2 { font-family: Arial, Tahoma, Helvetica; font-size: 7pt; color: black; }
font. blacklight { font-family: Arial, Tahoma, Helvetica; font-size: 10pt; color: white; }
font. blacklight2 { font-family: Arial, Tahoma, Helvetica; font-size: 10pt; color: black; font-weight: bold }
font. tse { font-family: Arial, Tahoma, Helvetica; font-size: 8pt; color: #96B495; }
d=document; a=""; a+="; r="+escape (d. referrer)
js=10 // -->
a+="; j="+navigator. javaEnabled ()
js=11 // -->
s=screen; a+="; s="+s. width+"*"+s. height
a+="; d="+ (s. colorDepth? s. colorDepth: s. pixelDepth)
js=12 // -->
js=13 // -->
d. write ("
"? id=280923; js="+js+a+"; rand="+Math. random () +
"" height=1 width=1>")
if (js>11) d. write ("") // -->
|
|
|
|
| |
|
|
|
|
|
|
|
|
VB и COM Барби Игры Генератор игр Tutorials Winsock Курсовики Visual Basic Free Tutorials Игры MP3 Шаблоны Сайт Вебдизайн Delphi Скачать игру Натуризм Карты Бесплатные шаблоны Курсовики Photoshop
| |
|
|
Список серверов для хостинга персональных веб сайтов. Приведена проверенная информация, позволяющая сравнивать качество предоставляемого хостинга - размер выделенного дискового пространства, разрешенный объем трафика, дополнительная рекламная нагрузка, варианты для загрузки файлов (FTP или HTTP), почтовые сервисы, готовые шаблоны сайтов и т.д.
|
В разделе "Готовые шаблоны сайтов" представлен обзор архивов с большим выбором готовых шаблонов веб сайтов. В обзор включены шаблоны, выполненные с использованием различных технологий и на различные тематики. Представленные шаблоны доступны для бесплатного (как правило) скачивания, так и для получения на платной основе (за небольшую плату 10$ - 30$). [Готовые сайты]
|
|
|
geocities. yahoo.com - весьма удобный и качественный бесплатный и платный хостинг. Выделяемый объем - 15 Мбайт. Есть доступ по FTP. Редактор - Adv Basic. Реклама - Adsquare. Адрес Вашего сайта - /you. Дополнительные сервисы - RealVideo, RealAudio, POPmail, GuestBook, MailForm Counter.
|
|
www.holm.ru - бесплатный и платный хостинг. Выделяемый объем - не ограничен. Есть доступ по FTP. Доступны серверные логи. Доменное имя третьего уровня ваш_домен. holm.ru Реклама - банер. Дополнительные сервисы - cgi скрипты, SSI, Perl, PHP4, MySQL,
|
|
www.hostultra.com - бесплатный и платный (от 5$) хостинг. Выделяемый объем - 999 Мбайт. Есть доступ по FTP. Редактор - Adv Basic. Реклама - Banner. Адрес Вашего сайта - /~you. Дополнительные сервисы - Unlimited Bandwidth, Unlimited Webspace, Domain Hosting, PHP, FTP.
|
| |
|
|
www.hut.ru - бесплатный хостинг. Выделяемый объем - не ограничен. Есть доступ по FTP. Адрес Вашего сайта - /state/you. Дополнительные сервисы - PHP-скрипты , cgi-скрипты, MySql, доступ к файлу. htaccess, SSI, доступ к лог-файлам, форум и гостевая книга.
|
|
www.joinme.net - бесплатный хостинг. Выделяемый объем - 5 Мбайт. Есть доступ по FTP. Редактор - Adv Basic. Реклама - Banner. Адрес Вашего сайта - /you. Дополнительные сервисы - online web-page creation tools, guestbook, Bulletin Board, additional space available upon request.
|
|
|
|
www.justfree.com - бесплатный хостинг. Выделяемый объем - 40 Мбайт. Есть доступ по FTP. Без рекламы. Адрес Вашего сайта - /you. Дополнительные сервисы - Unlimited Bandwidth, Free Support, Free Guestbook, Free Forum, E-Z File Manager, Free Email.
|
|
www.megspace.com - бесплатный хостинг. Выделяемый объем - 50 Мбайт. Есть доступ по FTP. Редактор - Adv Basic. Реклама - Banner. Адрес Вашего сайта - /dir/you. Дополнительные сервисы - Free Message Boards, Free Personal Guest Book, Free Search Engine Submissions, Free Easy to Use Upload Manager, Free Form Mailer, Free Site Builder, Fast Servers.
|
| |
|
|
narod. yandex.ru - бесплатный хостинг. Выделяемый объем - 999 Мбайт. Есть доступ по FTP. Редактор - Adv Basic. Реклама - Banner. Адрес Вашего сайта - Subdomain. Дополнительные сервисы - почтовый ящик, шаблоны сайтов, статистика посещений, гостевая книга, форум.
|
|
|
|
www.owns1.com - бесплатный хостинг. Выделяемый объем - 100 Мбайт. Загрузка файлов через FTP. Редактор - Adv Basic. Реклама - Topbanner. Адрес Вашего сайта - Subdomain. Дополнительные сервисы - Free Frontpage extensions, php, cgi, mysql, control panels.
|
|
redrival.com - бесплатный хостинг. Выделяемый объем - 2 Мбайт. Есть доступ по FTP. Редактор - Adv Basic. Реклама - Popup. Адрес Вашего сайта - /you. Дополнительные сервисы - PHP 5, SQLite Databases, SSI/XSSI Scripting, Email Address, Advertising Supported.
|
|
www.sitepalace.com - бесплатный хостинг. Выделяемый объем - 10 Мбайт. Загрузка через HTTP. Редактор - Adv Basic. Реклама - Popup. Адрес Вашего сайта - /you. Дополнительные сервисы - Unlimited Transfer, Unlimited Hits, Page Counter, FREE Submission to 300+ Search Engines.
|
| |
|
|
www.spaceports.com - бесплатный хостинг. Выделяемый объем - 10 Мбайт. Есть доступ по FTP. Реклама - Banner. Адрес Вашего сайта - /~you. Дополнительные сервисы - CGI-BIN, MailForm, PHP scripting, MySQL database support.
|
|
www.stormloader.com - бесплатный хостинг. Выделяемый объем - 50 Мбайт. Загрузка файлов - Browser. Реклама - Topbanner. Адрес Вашего сайта - /you. Дополнительные сервисы - Page Building Tools, Unmetered Bandwidth.
|
| |
|
|
| |
|
|
|
|
|
|
|
| |
|
|
|
Введение
bbCode — Bulletin Board Code, или язык разметки, используемый для форматирования сообщений на многих электронных досках объявлений (BBS) и форумах. Для форматирования текста используются теги, подобные тегам HTML. В отличие от тегов HTML, теги bbCode заключают в квадратные скобки. Перед отображением страницы движок форума производит разбор текста и преобразовывает bbCode в HTML-код.
На многих форумах возможность использования BB-кодов настраивается администратором индивидуально на каждый раздел форума. Поэтому, прежде чем использовать BB-коды в сообщениях, необходимо убедиться, что они разрешены.
Форматирование шрифта
Базовые тэги для работы с текстом:
[p]
Обычный абзац с отступом.
Абзац, которому можно задавать стиль.
* Здесь и далее «стиль» — это аналог style в HTML.
текст аналогично в HTML текст
** С тэгами [p] можно использовать другие тэги, такие как [b], [i], [s] и т.д.
Текст, которому с помощью стиля можно менять свойства.
Ограниченная область, которой с помощью стиля можно менять свойства (положение, границы, отступы, свойства содержимого и т.д.).
* По умолчанию границы областей не видны. На одной странице может быть сразу несколько областей .
Форматирование текста:
[b]
Важный текст, полужирный
[i]
Важный текст, курсив
Просто полужирный
Просто курсив
[u]
Подчёркнутый текст
[s]
Зачёркнутый текст
— аналогично варианту
Уменьшенный шрифт
Знак сноски сверху
или индекс снизу
от текста
Удалённый текст
Размеры шрифта:
Шрифт размером 13 пунктов
Шрифт размером 15 пунктов
Шрифт размером 9 пикселей
Шрифт размером 12 пикселей
Шрифт размером 15 пикселей
Размер 0
Размер +1
Размер +2
Возможные варианты размеров шрифтов (визуальная оценка) доступны .
Заголовки:
Заголовок 1-го уровня
Заголовок 2-го уровня
Заголовок 3-го уровня
Заголовок 4-го уровня
Заголовок 5-го уровня
Заголовок 6-го уровня
Оформление текста с помощью шрифтов:
Шрифт Comic Sans Ms
Шрифт Monotype Corsiva
Шрифт Tahoma
Возможные варианты типов шрифтов (наименования и визуальная оценка) доступны .
Оформление текста с помощью цвета:
Красный текст
* Можно пользоваться стандартными словесными обозначениями цветов: Red, Green, Blue и т.д.
Синий текст
* Цифра #0000ff означает синий цвет в RGB палитре.
Голубой фон
* У фона тоже можно менять цвет.
Синий текст, серый фон
Некоторые предопределённые цвета:
Black
White
Red
Green
Blue
Purple
Firebrick
Maroon
OrangeRed
MidnightBlue
CornflowerBlue
Cyan
Yellow
Magenta
DarkGreen
DarkGoldenrod
Gold
Orchid
BlueViolet
Burlywood
PeachPuff
Некоторые цвета в шестнадцатиричном коде — интенсивность красного, зелёного и синего (RR
GG
BB
):
#000000
#FFFFFF
#FF0000
#00FF00
#0000FF
#FF00FF
#FF4444
#FF9999
#FFCCCC
#9999FF
#FF99FF
#DDDDDD
#FFE4C4
#CCCC99
#FF8DC
#FA8072
#990000
#FF3030
#000080
#000066
#0000CD
#AFEEEE
#006400
#66FF00
#00B800
#DAA520
#FFCC33
#FFA500
#C71585
#8B008B
#CC33FF
Возможные варианты палитры цветов и их кодов/наименований доступны .
Выравнивание текста и форматирование параграфов
Выравнивание текста:
Выравнивание текста по левой стороне
Выравнивание по левой стороне со стилем
Выравнивание в абзаце влево
Выравнивание текста по центру
Выравнивание по центру со стилем
Выравнивание в абзаце по центру
Выравнивание текста по правой стороне
Выравнивание по правой стороне со стилем
Выравнивание в абзаце справа
Выравнивание текста по обеим сторонам
Выравнивание по обеим сторонам со стилем
Выравнивание в абзаце по обеим сторонам
* Выравнивание текстов по обеим сторонам отображается для текстов, имеющих длину более одной строки.
Оформление сносок (комментариев) с отступом абзаца:
[q]
Цитата в строке
Цитата в строке со свойствами
Процитированный в отдельном блоке текст, у которого будет
небольшой отступ слева и особое оформление (стиль форума).
Примеры:
Lorem ipsum dolor sit amet
Lorem ipsum dolor sit amet
Lorem ipsum dolor sit amet
Форматирование параграфов и областей:
Привет! В этом абзаце первое предложение будет с "красной" строки, т.е. с отступом. Прямо как в книгопечати. Правда, в Интернете это редкая практика. Абзацы должны разделяться просто пустым промежутком.
Преформатированый текст
сохраняет отступы слева и между словами
и устанавливает те отступы, что вы укажите пробелами.
Предупреждение! Тэг не делает переноса строки автоматом!
Форматирование списков
Используем тэг или для маркированных списков:
- Один из пунктов списка
- Другой такой пункт
- Ещё один пункт.
[*]
Другой такой пункт
[*]
Ещё один пункт.
Для пронумерованных списков используем тэг :
Один из пунктов списка
Другой такой пункт
Ещё один пункт.
[*]
Один из пунктов списка
[*]
Другой такой пункт
[*]
Ещё один пункт.
Закрывающий тэг не обязателен для использования:
- Один из пунктов списка
- Другой такой пункт
- Ещё один пункт.
[*]
Один из пунктов списка
[*]
Другой такой пункт
[*]
Ещё один пункт.
Также возможно прямое указания вида списка:
— пронумерованный список
— алфавитный список
— список, пронумерованный римскими цифрами
Картинки
Http://img.cx/img/primer.jpg
- пример вставки картинки.
Http://img.cx/img/primer.jpg
- картинка слева.
Http://img.cx/img/primer.jpg
- картинка справа.
* Данный код аналогичен коду в HTML:
Http://img.cx/img/primer.jpg
- картинка по центру.
* Данный код аналогичен коду в HTML:
Аналогичные тэги с названиями и всплывающими подсказками:
Важно! В названии картинки нельзя использовать кавычки!
Http://img.cx/img/primer.jpg
- пример вставки картинки.
Http://img.cx/img/primer.jpg
- картинка слева.
Http://img.cx/img/primer.jpg
- картинка справа.
Http://img.cx/img/primer.jpg
- картинка по центру.
Картинки с указанными размерами:
Http://img.cx/img/primer.jpg
- пример картинки с размером.
* Данный код аналогичен коду в HTML:
Http://img.cx/img/primer.jpg
- картинка слева, с размером.
Http://img.cx/img/primer.jpg
- картинка справа, с размером.
Вставка больших изображений с полосами прокрутки:
Http://www..jpg
— картинка в выделенной области, если она больше доступного размера отображения на форуме.
Адрес
- открыть изображение в новом окне.
* Данный код аналогичен коду в HTML:
Адрес
- открыть изображение в том же окне.
* Данный код аналогичен коду в HTML:
Дорогие друзья! Сегодня мы поговорим о HTML теге code
. При написании конкретно этой статьи или любых других обучающих материалов, периодически необходимо вставлять куски HTML
, CSS
кода и вообще любого программного кода.
Думаю, вы уже догадались для чего нужен HTML тег code
. Через него мы сообщаем браузеру: "Все что будет помещено внутри контейнера "code"
, просим отобразить как текст."
…
В противном случае браузер не поймет где настоящий код, а где демонстрационный и не покажет ничего. Поскольку все теги на странице браузер воспринимает как команды для вывода контента. Иными словами с помощью HTML тега code
в окне браузера выводятся именно сами теги для демонстрации HTML
-кода.
Рассмотрим ниже пример вывода тегов на странице:
Вывод тегов на странице
Фрагмент HTML-кода
Это заголовок.
Это параграф.
Смотрим на результат данного примера:
Угловые скобки < >
следует заменить на специальные символы &..
и делать перенос каждой строки тегами br
или p
.
По умолчанию браузеры показывают содержимое HTML тега code
моноширинным шрифтом. Это уменьшенный шрифт с фиксированным размером.
code {
font-family: monospace;
}
Это обычный текст:
Это часть программного кода
Так выглядет в браузере по умолчанию:
Теперь переопределим внешний вид кода внутри тега code
. Зададим для элемента font-family: verdana;
или любой другой шрифт.
code {
font-family: verdana;
}
Это обычный текст:
Это часть программного кода
Заданный стиль в браузере.
| | | | | |
