Перейти к публикации

iFrame Главному редактору  

23 пользователя проголосовало

  1. 1. Поддерживаете ли Вы разрешение для Главного редактора сайта использовать iFrame?

    • Однозначно да! (Давно этого хотел)
      14
    • Поддерживаю. И не только для ГлавРеда, но и для групп пользователей
      0
    • Да
      4
    • Сомневаюсь
      0
    • Нет. Обленились - пишите каждую страницу как статическую
      0
    • Нет. Нечего выпендриваться - исправляйте шаблоны (пусть все страницы будут как клоны)
      2
    • Категорически против. Я себе сделал, а для джругих мне жалко
      3
    • А что это такое?
      0


Разрешить iframe (Google Maps) для Admin'a (Голосование)


Рекомендованные сообщения

(В соответствии с правилами форума сначала сообщаю адрес сайта http://Ekzamen.EU .Купил несколько лицензий DLE. Буду покупать ещё 2,но не 4, т.к. для 2-х клиентов принципиально нужны карты в тексте новостей.)

В последнее время одна из наиболее часто встречающихся тем, при обсуждении DLE, - применение iFrame.

Вот типичные обсуждения

Задача

- В полную новость нужно вставить спутниковую карту Гугла ...

- Каким образом можно вставить вот этот код в полную новость? Это код яндекс карты...

- А если, например, прийдется вставлять разные карты в разные статьи. Какой выход из этой ситуации? (тут) (нет ответа с 12.02.2009, что типично - этот вопрос обычно игнорируется)

- Хочу вставить анкету с генератора форм JotForm.com ...

- В последние пару месяцев ведущие видеохостинги стали предлагать для вставки код iframe ...

- Ну а допустим у меня около 200 видео,мне создавать 200 полей? ... (тут)

- Добавить несколько новостей, на которых имеется iframe на страницу другого сайта ...

- Нам тоже нужно вставить такой код, для текстовой трансляции прямого эфира ...

- И я хочу в разные новости вставлять соответсвенно разные фильмы (тут)

- I'm thinking to make a iframe inside of one article or static page but i cant do it. The file wich i want to make iframe is chat.php file. In joomla i can do it by wrapping.

- У меня есть заказчик, у которого есть представительства в разных городах и компания постоянно расширяется. Компания изъявила желание самостоятельно добавлять необходимые карты местоположения новых представительств. И как, по-вашему, они будут вставлять на страницы код JS, который гугл "дает"? (тут)

- Хочу вставить гугль-календарь...

Советы

- Вставьте в базу данных через phpMyAdmin (как только потребуется редактировать новость Журналисту!, так Администратору! придётся снова лезть в базу)

Ответы Support'a

- iframe запрещет к прямой публикации в новости, т.к. это представляет угрозу безопасности сайта (а загрузка файлов на сервер безопасна? а отправка почты? так почему же они регламентируются через панель управления, а возможность вставить карту - нет?)

- (Для Видео-Вконтакте) В доп. поле вставляете только ссылку которая стоит в теге iframe, а сам тег и ссылку уже выводите и оформляете в шаблоне. (тут) (таким образом можно вставить видео только в фиксированном месте, а не среди текста новости; тем более, заранее описанное количество раз; и не на нужных страницах новости)

Типичные замечания пользователей

- было бы неплохо, если бы можно было это ограничение снимать для админа (или для определенного юзера - по айди). (тут)

-а если сделать ббкод [iframe][/iframe] и дать возможность использовать его только пользователям с админ. правами? А что будет если действительно дать разрешение на использование BBCode [iframe][/iframe] только адимн. пользователям??? Сама дырка насколько я понимаю заключается просто в добавление вредоносного кода в сам тег <iframe>, в который вставляется ссылка на вредоносный сайт... (тут)

-я тоже думаю, что можно было бы сделать для админа исключения - например ифрейм. очень неудобно править новость с информерами через БД, а другого нормального способа пока нету... (тут)

ИТОГО:

Если путём редактирования базы можно использовать iFrame?

Если путём создания дополнительных полей можно использовать iFrame?

То почему этого нельзя делать по-человечески (через панель управления)?

А то, сейчас выглядит так,

iFrame - это алкоголь. И Вы можете его принимать через шприц, и через клизму. Но через рот нельзя!

Так может взрослые люди сами в состоянии решить - может ли главный редактор сайта использовать iFrame или нет?

P.S.

Кстати, эти люди платят деньги за скрипт. И если окажется, что их будет много, то к их мнению стоит прислушаться. ИМХО.

P.P.S.

Между прочим большинство высказываний с просьбами открыть Админу iFrame (точнее ВСЕ, которые я видел) остались без ответа со стороны Support'a. :unsure:

Оптимально:

Почему нельзя запретить iFrame только для комментов? Ведь опасность представляют именно они.

Каждый, кто получил право публикации новостей, зарегистрирован и известен (в 99,99% случаев).

И каждый из них, между прочим, может нагадить другими способами.

И если что, всегда можно узнать откуда у проблемы ноги растут. Реально опасны только Гости и Пользователи.

Ссылка на сообщение
Поделиться на других сайтах

Проголосовал "Да".

Считаю, что нужно в админке добавить возможность выставлять права на добавление iframe.

Даже если сайт взломают, его легко вставят через БД. Так что запрет добавления iframe считаю лишним.

Ссылка на сообщение
Поделиться на других сайтах

Категорически нет!

Ссылка на сообщение
Поделиться на других сайтах

Было бы здорово сделать опциональную поддержку iframe. Иногда очень нужно, приходиться править файлы

Ссылка на сообщение
Поделиться на других сайтах

Угу, без причины, да? Обоснуйте позицию что-ли.. =\

Ну, действительно... В чём причина такой категоричности?

Речь ведь идёт не о том, что надо разрешить всем и всегда!

Ведь я могу запретить гостям писать комментарии? Могу.

А журналистам - разрешить писать статьи? То же могу.

Так почему я не могу запретить гостям iFrame, и разрешить его журналистам?

Разрешить в статьях, и запретить в коментах?

Ссылка на сообщение
Поделиться на других сайтах

Даже если сайт взломают, его легко вставят через БД. Так что запрет добавления iframe считаю лишним.

При этом для DLE это чужеродный код, и даже если вам его добавять напрямую в БД, то он сможет их удалить всего в один клик со все БД, достаточно будет запустить перестроение новостей.

Ведь я могу запретить гостям писать комментарии? Могу.

А журналистам - разрешить писать статьи? То же могу.

Так почему я не могу запретить гостям iFrame, и разрешить его журналистам?

Потому что ни статьи, ни комментарии не могут служить для распространения вирусов, и заражения комьютеров посетителей, в отличии от тега iframe, и если кто то украдет доступ вашего журналиста или администратора, он сможет натворить бед на сайте, за которое ваши посетители сайта вам спасибо не скажут. iframe в чистом виде, это не только видео вконтакте, это серьезная угроза в виде вирусов и троянов которые могут атаковать компьютеры пользователей и получать управление над ними. И если для DLE это будет допустимый тег, то удалить его в тысячах новостей и комментариев будет очень сложная задача, если кто то из администраторов и тем более журналистов потеряет доступ. Тем более что журналистов многие набирают, даже не зная кто это.

Ссылка на сообщение
Поделиться на других сайтах

Тем более что журналистов многие набирают, даже не зная кто это.

Вебмастер сам в ответе за то, кого он набирает.

Можно предложить такой вариант, добавлять iframe только с доверенных сайтов, доверенные файлы хранятся например в good.txt, который правится только с помощью ftp, без админки.

Нужно искать какие-то альтернативы, ибо и правда iframe становится нужным для многих.

Ссылка на сообщение
Поделиться на других сайтах

Вебмастер сам в ответе за то, кого он набирает.

Позволю себе не согласиться, 90% администраторов сайта не могут позаботиться о собсвтенной безопасности, не говоря уже о других. И весь форум будет заявлен темами http://forum.dle-news.ru/index.php?showtopic=55636 хотя в той теме человек потерял именно свой доступ по FTP, а не доступ к админпанели. Потерять FTP намного сложнее чем доступ к админпанели скрипта. И уж журналисты точно об этом не беспокоятся. Лично я не хочу и не буду разбирать и решать проблемы безолаберности сотен администраторов.

Нужно искать какие-то альтернативы, ибо и правда iframe становится нужным для многих.

Поверьте не знаю ниодного случая, когда необходимое нельзя реализовать например через использование доп. полей для новостей. Может быть менее удобно и сложнее настроить, но зато безопасно.

- Ну а допустим у меня около 200 видео,мне создавать 200 полей? ... (тут)

Вообще то поле создается одно, а не 200, изучите что такое доп. поля и как они применяются

Ссылка на сообщение
Поделиться на других сайтах

celsoft,

Появилась тогда идея реализации вывода дополнительных полей в полных новостях. К сожалению информация очень сложна к восприятию.

Для дополнительного поля создается .tpl шаблон, туда прописывается:

[xfstart_video]

<iframe title="{title}" width="640" height="390" src="http://www.youtube.com/embed/[xfvalue_video]" frameborder="0" allowfullscreen></iframe>

[/xfstart_video]

В итоге при добавлении новости достаточно указать в дополнительном поле например концовку видео с ютуба (ютуб я взял к примеру, чтобы было проще понять):

nYgaIPUqLSM

А в самой новости мы выводим это поле с помощью тега

[xfshow_video]

Итак, тег xfshow_video парсит у нас из заданного ранее шаблона .tpl все, что находится в нем между xfstart_video, и выводит это в новость.

p.s.

что-то я на ночь глядя замечтался :D

Ссылка на сообщение
Поделиться на других сайтах

Лично у меня пока что необходимости в iframe не было. Ну, поживем - увидим.

WebSet,

Насчет доп. полей! Думаю можно и, наверно, просто уже необходимо расширить их функционал. Вот, например, к тому же iframe применить поле одной строкой и с возможностью опционально устанавливать шаблон для него, и в том случае, если таких iframe'ов будет в новости несколько, то при добавлении статьи на сайт можно было нажать на "+" и еще одно такое поле добавится

Ссылка на сообщение
Поделиться на других сайтах

Поверьте не знаю ниодного случая, когда необходимое нельзя реализовать например через использование доп. полей для новостей.

Поверьте знаю...

1). Очень простая ситуация - нужен сайт для логистической компании. Никакие "заморочки" более дорогих решений не нужны - сайт технический.

DLE подходит как нельзя лучше - каждая доставка оформляется в виде "новости", НО заказчик хочет в тексте "новости" размещать карты маршрутов (и не скриншотом, а полноценные) (и именно в тексте, а не сбоку и не с краю). И что - фигвам, все свободны.

2). Нужен сайт для областного клуба, имеющего представителей в райцентрах. Та же картина - нужны карты в тексте новостей.

- Ну а допустим у меня около 200 видео,мне создавать 200 полей? ... (тут)

Вообще то поле создается одно, а не 200, изучите что такое доп. поля и как они применяются

Замечание не по адресу. Это цитата из многочисленных обращений Других пользователей на форуме. Я просто попытался обобщить массу обсуждений (далеко не все).

И ещё раз замечу.

Контр аргументы запрета iFrame не убедительны, как минимум потому, что если бы iFrame нельзя было использовать вообще никак, то - ладно. Например, людей нельзя убивать никак (ни через панель управления, ни через базу). Просто никак. А iFrame использовать можно, но криво и неудобно (как гланды лечить через все знают что).

По поводу:

"если кто то украдет доступ вашего журналиста или администратора, он сможет натворить бед на сайте, за которое ваши посетители сайта вам спасибо не скажут"

Если кто-то (при существующем запрете iFrame) украдёт доступ вашего журналиста, то он сможет натворить таких бед на сайте, за которые Вам ФСБ спасибо не скажет (например, статьи с детской порнографией). Так что, из-за этого запретить в DLE возможность публиковать новости? Несостоятельно.

Лично я не хочу и не буду разбирать и решать проблемы безолаберности сотен администраторов.

Если у кого-то кривые руки, то он всегда найдёт способ что-то запороть.

Уподобляясь Марку Порцию Катону Старшему повторю: iFrame использовать можно, но не удобно.

Либо запретите вообще, либо сделайте это удобным. ИМХО.

P.S.

Ну хотя бы нормальное использование карт Google и Яндекса (как ютубовкое видео) можно сделать?

Ссылка на сообщение
Поделиться на других сайтах

Может DLE Maps подойдет?

Или можно еще сделат доп поле под ссылку на фрейм и туда уже вставлять ссылку на карту.

Например есть

<iframe width="425" height="350" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="http://maps.google.ru/maps/ms?client=opera&amp;oe=utf-8&amp;channel=suggest&amp;ie=UTF8&amp;hl=ru&amp;msa=0&amp;msid=205364157972961969684.0004885e42f13700a0dcd&amp;t=h&amp;ll=51.688162,39.165691&amp;spn=0,0&amp;output=embed"></iframe><br /><small>Просмотреть <a href="http://maps.google.ru/maps/ms?client=opera&amp;oe=utf-8&amp;channel=suggest&amp;ie=UTF8&amp;hl=ru&amp;msa=0&amp;msid=205364157972961969684.0004885e42f13700a0dcd&amp;t=h&amp;ll=51.688162,39.165691&amp;spn=0,0&amp;source=embed" style="color:#0000FF;text-align:left">ЕДС - Воронеж</a> на карте большего размера</small>
Делаем доп поле, и в шаблоне пишем
[xfgiven_googlmaps]

<iframe width="425" height="350" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="[xfvalue_googlmaps]"></iframe>

[/xfgiven_googlmaps]

Ссылка на сообщение
Поделиться на других сайтах

Может DLE Maps подойдет?

DLE Maps уже показывал.

DLE Maps, дополнительное поле и правка шаблона не решают главную задачу - карта в тексте.

Любые экзерсисы кроме использования тега

позволяют вставлять карту или неютубовское видео

только в заранее указанном месте.

Это примерно так же "удобно", как выводить все даты в начале или в конце новости.

Ссылка на сообщение
Поделиться на других сайтах
  • 3 недели спустя...

Ещё один очевидный факт по поводу iFrame - так сказать "нормативно-правовой" (в переносном смысле, конечно).

Надеюсь, что никому не нужно объяснять что такое W3.ORG (http://www.w3.org/).

Итак, все знают что:

HTML5 (англ. HyperText Markup Language, version 5) — пятая версия языка разметки HTML.

Открываем спецификацию HTML5:

http://dev.w3.org/html5/spec/Overview.html#the-iframe-element

И, как это кому-то не покажется странным, мы видит там iFrame!

Т.е. большие и умные (даже очень умные) дяди считают, что iFrame - это хорошо и правильно. И он должен быть.

Любой скрипт, который запрещает iFrame, явным образом не соответствует спецификации HTML5.

ИТОГО:

1. Консорциум Всемирной паутины (World Wide Web Consortium, W3C) — организация, разрабатывающая и внедряющая технологические стандарты для Всемирной паутины, считает, что iFrame должен быть.

2. Google - самая популярная поисковая система в мире, считает, что iFrame должен быть. И использует его в GoogleMaps.

3. Yandex - одна из крупнейших поисковых систем в мире, считает, что iFrame должен быть. И использует его в Яндекс.Карты.

Вопрос:

Кто-то готов доказать, что он разбирается в сайтостроении лучше самых умных людей планеты?

Тогда хотелось бы услышать реально неоспоримые аргументы того, почему W3C, Google и Yandex - дураки.

Ссылка на сообщение
Поделиться на других сайтах

Legends,

Вы путаете "мягкое" с "соленым", считая что это одни и те же свойства. Консорциум W3C занимается определением того какие теги и спецификации могут использоваться для верстки HTML. И iframe может использоваться для верстки сайтов и с этим никто и никогда не спорил. iframe запрещен в DLE не по причине того что он плохой или неправильный, а по причине того что он может использоваться не только для верстки карт как вы пишите, но и для распространения вирусов. И если бы DLE его принимал и допускал, то вашем сайте были бы не карты а украденный доступ от вашего сайта, и вирусы на компьютерах посетителей, причиной был бы тому тег iframe, который не только карты умеет показывать.

Тогда хотелось бы услышать реально неоспоримые аргументы того, почему W3C, Google и Yandex - дураки.

какие могут быть аргументы когда вы пишите вообще непонятно о чем, зайдите на любой другой из этих сайтов и попробуйте на этих сайтах опубликовать тег iframe и чтобы он потом показывался на этих сайтах, именно то что вы добавили.

Ссылка на сообщение
Поделиться на других сайтах

Зачем же так усложнять? Вирусы и вредоносные скрипты на сайт можно загрузить и без ифрейма. Или DLE платной версии от этого застрахован, от правки файлов например?

iFrame нужен. Доводы об опасности параноидальны.

Изменено пользователем veb74
Ссылка на сообщение
Поделиться на других сайтах

Вирусы и вредоносные скрипты на сайт можно загрузить и без ифрейма. Или DLE платной версии от этого застрахован, от правки файлов например?

Не застрахован, но для этого нужно найти уязвимости на сервере и взломать сервер. А если разрешить его в DLE, то сервер взламывать не нужно будет, это будет штатная возможность DLE. Если вы не знаете и не понимаете разницы между штатной возможностью добавления и необходимости взлома сайта, то мне добавить больше нечего.

iFrame нужен. Доводы об опасности параноидальны.

Делайте. Открываете файл engine/classes/parse.class.php и удаляйте все строчки где упоминается слово iframe. Все очень просто. Когда ваш сайт взломают не приходите, это будет ваша проблема и понимание разницы придет сразу. Штатно добавлять iframe в новости в скрипте никогда не будет, это я могу гарантировать, можете даже не ждать, а как сделать самому, я вам сказал.

Ссылка на сообщение
Поделиться на других сайтах

Речь сводится к штатному добавлению в новости вредоносного ифрейма. Будь то Гость или Админ, который сошел с ума.

Я не вижу ничего плохого, если на сайт будет добавляться код от гугльмапс. И все новости проходят через администратора.

Или использование ифрейм это уже уязвимость??

Сами же написали - не по причине того, что он плохой. Дело было не в бобине.

Ссылка на сообщение
Поделиться на других сайтах

Будь то Гость или Админ, который сошел с ума. Или использование ифрейм это уже уязвимость??

Да. Разрешение на его добавление даже админом уже уязвимость, читайте иногда что я пишу выше http://forum.dle-news.ru/index.php?showtopic=55631&view=findpost&p=273230 если доступ одного из адмистраторов будет украден, вычистить БД, будет практически невозможно. А сейчас DLE способен его вычистить в один клик, даже если его добавять напрямую в БД без DLE. И вы слишком узко думаете в вопросах безопасности, полагая что это защита от сумашедших администраторов.

Ссылка на сообщение
Поделиться на других сайтах

Будь то Гость или Админ, который сошел с ума. Или использование ифрейм это уже уязвимость??

Да. Разрешение на его добавление даже админом уже уязвимость, читайте иногда что я пишу выше http://forum.dle-news.ru/index.php?showtopic=55631&view=findpost&p=273230 если доступ одного из адмистраторов будет украден, вычистить БД, будет практически невозможно. А сейчас DLE способен его вычистить в один клик, даже если его добавять напрямую в БД без DLE.

если доступ одного из администраторов будет украден, то злоумышленнику нет смысла извращаться с ифреймом, он уничтожит весь сайт и без того натворит бед.

Так вот, ответьте мне, почему использование ифрейма от таких вредителей как Гугл и Яндекс уже считается уязвимостью?

PS после установки сайта, если я не ошибаюсь, доступна загрузка файлов на сайт с расширением EXE ! А файлы вирусов могут маскироваться под программы и ничего не стоит залить лжеадмину сотню вирусов и вредоносных программ, предоставляя их скачивать пользователям. А хостеры сайт отрубят после первого сканирования. А посковики забанят.

Первым делом удаляю это расширение. Но сам движок не запрещает их загрузку, лишь отключение/вкл в настройках.

Программы надо качать с оффсайтов, там и версии актуальные.

Ссылка на сообщение
Поделиться на других сайтах

если доступ одного из администраторов будет украден, то злоумышленнику нет смысла извращаться с ифреймом

Вот это как раз в корне неверно и вы так пишите потому что попросту не в курсе темы. Удалять сайт злоумышленнику нет никакого смысла, сайты не для этого взламываются. На зловредных кодах деньги зарабатываются а не что то там удаляется, и от удаленного сайта злоумышленнику ни холодно не жарко.

Так вот, ответьте мне, почему использование ифрейма от таких вредителей как Гугл и Яндекс уже считается уязвимостью?

iframe это универсальный тег, а не от гугла или яндекса, и отфильтровать его практически не возможно.

PS после установки сайта, если я не ошибаюсь, доступна загрузка файлов на сайт с расширением EXE ! А файлы вирусов могут маскироваться под программы и ничего не стоит залить лжеадмину сотню вирусов и вредоносных программ, предоставляя их скачивать пользователям. А хостеры сайт отрубят после первого сканирования. А посковики забанят.

Тоже в корне неверно, exe не скрипты, сайтам вредить они не могут, и запускаться в среде сервера тоже не могут. Более того залитые файлы через скрипт на сервер не имеют прямого доступа и прямого скачивания. iframe в отличии от exe работает в среде сайта и для его запуска не нужно что то скачивать и запускать, достаточно посмотреть страницу и не более. Поэтому в данном вопросе вы тоже ошибаетесь.

Ссылка на сообщение
Поделиться на других сайтах

Оптимально:

Почему нельзя запретить iFrame только для комментов? Ведь опасность представляют именно они.

Каждый, кто получил право публикации новостей, зарегистрирован и известен (в 99,99% случаев).

И каждый из них, между прочим, может нагадить другими способами.

И если что, всегда можно узнать откуда у проблемы ноги растут. Реально опасны только Гости и Пользователи.

Проголосовал ДА и выше сказанное ... очень даже логично

Изменено пользователем mr.8pa4
Ссылка на сообщение
Поделиться на других сайтах

iframe это универсальный тег, а не от гугла или яндекса, и отфильтровать его практически не возможно.

теоретически возможно, добавить можно доверительные сайты в файл iframe.txt например, соответственно появится возможность добавлять тег iframe src"доверенный сайт"

предположим, что вы добавили в доверенный сайт google.com но вам нужно удалить из бд все ифраймы от гугла, просто убираете его из доверенных и чистится нормально

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...