iFrame Главному редактору 23 пользователя проголосовало

[Legends 0]

(В соответствии с правилами форума сначала сообщаю адрес сайта http://Ekzamen.EU .Купил несколько лицензий DLE. Буду покупать ещё 2,но не 4, т.к. для 2-х клиентов принципиально нужны карты в тексте новостей.)

В последнее время одна из наиболее часто встречающихся тем, при обсуждении DLE, - применение iFrame.

Вот типичные обсуждения

Задача

- В полную новость нужно вставить спутниковую карту Гугла ...

- Каким образом можно вставить вот этот код в полную новость? Это код яндекс карты...

- А если, например, прийдется вставлять разные карты в разные статьи. Какой выход из этой ситуации? (тут) (нет ответа с 12.02.2009, что типично - этот вопрос обычно игнорируется)

- Хочу вставить анкету с генератора форм JotForm.com ...

- В последние пару месяцев ведущие видеохостинги стали предлагать для вставки код iframe ...

- Ну а допустим у меня около 200 видео,мне создавать 200 полей? ... (тут)

- Добавить несколько новостей, на которых имеется iframe на страницу другого сайта ...

- Нам тоже нужно вставить такой код, для текстовой трансляции прямого эфира ...

- И я хочу в разные новости вставлять соответсвенно разные фильмы (тут)

- I'm thinking to make a iframe inside of one article or static page but i cant do it. The file wich i want to make iframe is chat.php file. In joomla i can do it by wrapping.

- У меня есть заказчик, у которого есть представительства в разных городах и компания постоянно расширяется. Компания изъявила желание самостоятельно добавлять необходимые карты местоположения новых представительств. И как, по-вашему, они будут вставлять на страницы код JS, который гугл "дает"? (тут)

- Хочу вставить гугль-календарь...

Советы

- Вставьте в базу данных через phpMyAdmin (как только потребуется редактировать новость Журналисту!, так Администратору! придётся снова лезть в базу)

Ответы Support'a

- iframe запрещет к прямой публикации в новости, т.к. это представляет угрозу безопасности сайта (а загрузка файлов на сервер безопасна? а отправка почты? так почему же они регламентируются через панель управления, а возможность вставить карту - нет?)

- (Для Видео-Вконтакте) В доп. поле вставляете только ссылку которая стоит в теге iframe, а сам тег и ссылку уже выводите и оформляете в шаблоне. (тут) (таким образом можно вставить видео только в фиксированном месте, а не среди текста новости; тем более, заранее описанное количество раз; и не на нужных страницах новости)

Типичные замечания пользователей

- было бы неплохо, если бы можно было это ограничение снимать для админа (или для определенного юзера - по айди). (тут)

-а если сделать ббкод [iframe][/iframe] и дать возможность использовать его только пользователям с админ. правами? А что будет если действительно дать разрешение на использование BBCode [iframe][/iframe] только адимн. пользователям??? Сама дырка насколько я понимаю заключается просто в добавление вредоносного кода в сам тег <iframe>, в который вставляется ссылка на вредоносный сайт... (тут)

-я тоже думаю, что можно было бы сделать для админа исключения - например ифрейм. очень неудобно править новость с информерами через БД, а другого нормального способа пока нету... (тут)

ИТОГО:

Если путём редактирования базы можно использовать iFrame?

Если путём создания дополнительных полей можно использовать iFrame?

То почему этого нельзя делать по-человечески (через панель управления)?

А то, сейчас выглядит так,

iFrame - это алкоголь. И Вы можете его принимать через шприц, и через клизму. Но через рот нельзя!

Так может взрослые люди сами в состоянии решить - может ли главный редактор сайта использовать iFrame или нет?

P.S.

Кстати, эти люди платят деньги за скрипт. И если окажется, что их будет много, то к их мнению стоит прислушаться. ИМХО.

P.P.S.

Между прочим большинство высказываний с просьбами открыть Админу iFrame (точнее ВСЕ, которые я видел) остались без ответа со стороны Support'a.

Оптимально:

Почему нельзя запретить iFrame только для комментов? Ведь опасность представляют именно они.

Каждый, кто получил право публикации новостей, зарегистрирован и известен (в 99,99% случаев).

И каждый из них, между прочим, может нагадить другими способами.

И если что, всегда можно узнать откуда у проблемы ноги растут. Реально опасны только Гости и Пользователи.

[WebSet 74]

Проголосовал "Да".

Считаю, что нужно в админке добавить возможность выставлять права на добавление iframe.

Даже если сайт взломают, его легко вставят через БД. Так что запрет добавления iframe считаю лишним.

[WWW.ZEOS.IN 1 161]

Категорически нет!

[WebSet 74]

Категорически нет!

Угу, без причины, да? Обоснуйте позицию что-ли.. =\

[Captain 613]

Категорически нет!

Поддерживаю.

[silva 8]

Было бы здорово сделать опциональную поддержку iframe. Иногда очень нужно, приходиться править файлы

[Legends 0]

Угу, без причины, да? Обоснуйте позицию что-ли.. =\

Ну, действительно... В чём причина такой категоричности?

Речь ведь идёт не о том, что надо разрешить всем и всегда!

Ведь я могу запретить гостям писать комментарии? Могу.

А журналистам - разрешить писать статьи? То же могу.

Так почему я не могу запретить гостям iFrame, и разрешить его журналистам?

Разрешить в статьях, и запретить в коментах?

[celsoft 5 992]

Даже если сайт взломают, его легко вставят через БД. Так что запрет добавления iframe считаю лишним.

При этом для DLE это чужеродный код, и даже если вам его добавять напрямую в БД, то он сможет их удалить всего в один клик со все БД, достаточно будет запустить перестроение новостей.

Ведь я могу запретить гостям писать комментарии? Могу.

А журналистам - разрешить писать статьи? То же могу.

Так почему я не могу запретить гостям iFrame, и разрешить его журналистам?

Потому что ни статьи, ни комментарии не могут служить для распространения вирусов, и заражения комьютеров посетителей, в отличии от тега iframe, и если кто то украдет доступ вашего журналиста или администратора, он сможет натворить бед на сайте, за которое ваши посетители сайта вам спасибо не скажут. iframe в чистом виде, это не только видео вконтакте, это серьезная угроза в виде вирусов и троянов которые могут атаковать компьютеры пользователей и получать управление над ними. И если для DLE это будет допустимый тег, то удалить его в тысячах новостей и комментариев будет очень сложная задача, если кто то из администраторов и тем более журналистов потеряет доступ. Тем более что журналистов многие набирают, даже не зная кто это.

[WebSet 74]

Тем более что журналистов многие набирают, даже не зная кто это.

Вебмастер сам в ответе за то, кого он набирает.

Можно предложить такой вариант, добавлять iframe только с доверенных сайтов, доверенные файлы хранятся например в good.txt, который правится только с помощью ftp, без админки.

Нужно искать какие-то альтернативы, ибо и правда iframe становится нужным для многих.

[celsoft 5 992]

Вебмастер сам в ответе за то, кого он набирает.

Позволю себе не согласиться, 90% администраторов сайта не могут позаботиться о собсвтенной безопасности, не говоря уже о других. И весь форум будет заявлен темами http://forum.dle-news.ru/index.php?showtopic=55636 хотя в той теме человек потерял именно свой доступ по FTP, а не доступ к админпанели. Потерять FTP намного сложнее чем доступ к админпанели скрипта. И уж журналисты точно об этом не беспокоятся. Лично я не хочу и не буду разбирать и решать проблемы безолаберности сотен администраторов.

Нужно искать какие-то альтернативы, ибо и правда iframe становится нужным для многих.

Поверьте не знаю ниодного случая, когда необходимое нельзя реализовать например через использование доп. полей для новостей. Может быть менее удобно и сложнее настроить, но зато безопасно.

- Ну а допустим у меня около 200 видео,мне создавать 200 полей? ... (тут)

Вообще то поле создается одно, а не 200, изучите что такое доп. поля и как они применяются

[WebSet 74]

celsoft,

Появилась тогда идея реализации вывода дополнительных полей в полных новостях. К сожалению информация очень сложна к восприятию.

Для дополнительного поля создается .tpl шаблон, туда прописывается:

[xfstart_video]

<iframe title="{title}" width="640" height="390" src="http://www.youtube.com/embed/[xfvalue_video]" frameborder="0" allowfullscreen></iframe>

[/xfstart_video]

В итоге при добавлении новости достаточно указать в дополнительном поле например концовку видео с ютуба (ютуб я взял к примеру, чтобы было проще понять):

nYgaIPUqLSM

А в самой новости мы выводим это поле с помощью тега

[xfshow_video]

Итак, тег xfshow_video парсит у нас из заданного ранее шаблона .tpl все, что находится в нем между xfstart_video, и выводит это в новость.

p.s.

что-то я на ночь глядя замечтался

[Critical Error 155]

Лично у меня пока что необходимости в iframe не было. Ну, поживем - увидим.

WebSet,

Насчет доп. полей! Думаю можно и, наверно, просто уже необходимо расширить их функционал. Вот, например, к тому же iframe применить поле одной строкой и с возможностью опционально устанавливать шаблон для него, и в том случае, если таких iframe'ов будет в новости несколько, то при добавлении статьи на сайт можно было нажать на "+" и еще одно такое поле добавится

[Legends 0]

Поверьте не знаю ниодного случая, когда необходимое нельзя реализовать например через использование доп. полей для новостей.

Поверьте знаю...

1). Очень простая ситуация - нужен сайт для логистической компании. Никакие "заморочки" более дорогих решений не нужны - сайт технический.

DLE подходит как нельзя лучше - каждая доставка оформляется в виде "новости", НО заказчик хочет в тексте "новости" размещать карты маршрутов (и не скриншотом, а полноценные) (и именно в тексте, а не сбоку и не с краю). И что - фигвам, все свободны.

2). Нужен сайт для областного клуба, имеющего представителей в райцентрах. Та же картина - нужны карты в тексте новостей.

- Ну а допустим у меня около 200 видео,мне создавать 200 полей? ... (тут)

Вообще то поле создается одно, а не 200, изучите что такое доп. поля и как они применяются

Замечание не по адресу. Это цитата из многочисленных обращений Других пользователей на форуме. Я просто попытался обобщить массу обсуждений (далеко не все).

И ещё раз замечу.

Контр аргументы запрета iFrame не убедительны, как минимум потому, что если бы iFrame нельзя было использовать вообще никак, то - ладно. Например, людей нельзя убивать никак (ни через панель управления, ни через базу). Просто никак. А iFrame использовать можно, но криво и неудобно (как гланды лечить через все знают что).

По поводу:

"если кто то украдет доступ вашего журналиста или администратора, он сможет натворить бед на сайте, за которое ваши посетители сайта вам спасибо не скажут"

Если кто-то (при существующем запрете iFrame) украдёт доступ вашего журналиста, то он сможет натворить таких бед на сайте, за которые Вам ФСБ спасибо не скажет (например, статьи с детской порнографией). Так что, из-за этого запретить в DLE возможность публиковать новости? Несостоятельно.

Лично я не хочу и не буду разбирать и решать проблемы безолаберности сотен администраторов.

Если у кого-то кривые руки, то он всегда найдёт способ что-то запороть.

Уподобляясь Марку Порцию Катону Старшему повторю: iFrame использовать можно, но не удобно.

Либо запретите вообще, либо сделайте это удобным. ИМХО.

P.S.

Ну хотя бы нормальное использование карт Google и Яндекса (как ютубовкое видео) можно сделать?

[Lomot 134]

Может DLE Maps подойдет?

Или можно еще сделат доп поле под ссылку на фрейм и туда уже вставлять ссылку на карту.

Например есть

<iframe width="425" height="350" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="http://maps.google.ru/maps/ms?client=opera&amp;oe=utf-8&amp;channel=suggest&amp;ie=UTF8&amp;hl=ru&amp;msa=0&amp;msid=205364157972961969684.0004885e42f13700a0dcd&amp;t=h&amp;ll=51.688162,39.165691&amp;spn=0,0&amp;output=embed"></iframe><br /><small>Просмотреть <a href="http://maps.google.ru/maps/ms?client=opera&amp;oe=utf-8&amp;channel=suggest&amp;ie=UTF8&amp;hl=ru&amp;msa=0&amp;msid=205364157972961969684.0004885e42f13700a0dcd&amp;t=h&amp;ll=51.688162,39.165691&amp;spn=0,0&amp;source=embed" style="color:#0000FF;text-align:left">ЕДС - Воронеж</a> на карте большего размера</small>

Делаем доп поле, и в шаблоне пишем

[xfgiven_googlmaps]

<iframe width="425" height="350" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="[xfvalue_googlmaps]"></iframe>

[/xfgiven_googlmaps]

[Legends 0]

Может DLE Maps подойдет?

DLE Maps уже показывал.

DLE Maps, дополнительное поле и правка шаблона не решают главную задачу - карта в тексте.

Любые экзерсисы кроме использования тега

позволяют вставлять карту или неютубовское видео

только в заранее указанном месте.

Это примерно так же "удобно", как выводить все даты в начале или в конце новости.

[Legends 0]

Ещё один очевидный факт по поводу iFrame - так сказать "нормативно-правовой" (в переносном смысле, конечно).

Надеюсь, что никому не нужно объяснять что такое W3.ORG (http://www.w3.org/).

Итак, все знают что:

HTML5 (англ. HyperText Markup Language, version 5) — пятая версия языка разметки HTML.

Открываем спецификацию HTML5:

http://dev.w3.org/html5/spec/Overview.html#the-iframe-element

И, как это кому-то не покажется странным, мы видит там iFrame!

Т.е. большие и умные (даже очень умные) дяди считают, что iFrame - это хорошо и правильно. И он должен быть.

Любой скрипт, который запрещает iFrame, явным образом не соответствует спецификации HTML5.

ИТОГО:

1. Консорциум Всемирной паутины (World Wide Web Consortium, W3C) — организация, разрабатывающая и внедряющая технологические стандарты для Всемирной паутины, считает, что iFrame должен быть.

2. Google - самая популярная поисковая система в мире, считает, что iFrame должен быть. И использует его в GoogleMaps.

3. Yandex - одна из крупнейших поисковых систем в мире, считает, что iFrame должен быть. И использует его в Яндекс.Карты.

Вопрос:

Кто-то готов доказать, что он разбирается в сайтостроении лучше самых умных людей планеты?

Тогда хотелось бы услышать реально неоспоримые аргументы того, почему W3C, Google и Yandex - дураки.

[celsoft 5 992]

Legends,

Вы путаете "мягкое" с "соленым", считая что это одни и те же свойства. Консорциум W3C занимается определением того какие теги и спецификации могут использоваться для верстки HTML. И iframe может использоваться для верстки сайтов и с этим никто и никогда не спорил. iframe запрещен в DLE не по причине того что он плохой или неправильный, а по причине того что он может использоваться не только для верстки карт как вы пишите, но и для распространения вирусов. И если бы DLE его принимал и допускал, то вашем сайте были бы не карты а украденный доступ от вашего сайта, и вирусы на компьютерах посетителей, причиной был бы тому тег iframe, который не только карты умеет показывать.

Тогда хотелось бы услышать реально неоспоримые аргументы того, почему W3C, Google и Yandex - дураки.

какие могут быть аргументы когда вы пишите вообще непонятно о чем, зайдите на любой другой из этих сайтов и попробуйте на этих сайтах опубликовать тег iframe и чтобы он потом показывался на этих сайтах, именно то что вы добавили.

[veb74 10]

Зачем же так усложнять? Вирусы и вредоносные скрипты на сайт можно загрузить и без ифрейма. Или DLE платной версии от этого застрахован, от правки файлов например?

iFrame нужен. Доводы об опасности параноидальны.

Изменено 21 мая 2011 пользователем veb74

[celsoft 5 992]

Вирусы и вредоносные скрипты на сайт можно загрузить и без ифрейма. Или DLE платной версии от этого застрахован, от правки файлов например?

Не застрахован, но для этого нужно найти уязвимости на сервере и взломать сервер. А если разрешить его в DLE, то сервер взламывать не нужно будет, это будет штатная возможность DLE. Если вы не знаете и не понимаете разницы между штатной возможностью добавления и необходимости взлома сайта, то мне добавить больше нечего.

iFrame нужен. Доводы об опасности параноидальны.

Делайте. Открываете файл engine/classes/parse.class.php и удаляйте все строчки где упоминается слово iframe. Все очень просто. Когда ваш сайт взломают не приходите, это будет ваша проблема и понимание разницы придет сразу. Штатно добавлять iframe в новости в скрипте никогда не будет, это я могу гарантировать, можете даже не ждать, а как сделать самому, я вам сказал.

[veb74 10]

Речь сводится к штатному добавлению в новости вредоносного ифрейма. Будь то Гость или Админ, который сошел с ума.

Я не вижу ничего плохого, если на сайт будет добавляться код от гугльмапс. И все новости проходят через администратора.

Или использование ифрейм это уже уязвимость??

Сами же написали - не по причине того, что он плохой. Дело было не в бобине.

[celsoft 5 992]

Будь то Гость или Админ, который сошел с ума. Или использование ифрейм это уже уязвимость??

Да. Разрешение на его добавление даже админом уже уязвимость, читайте иногда что я пишу выше http://forum.dle-news.ru/index.php?showtopic=55631&view=findpost&p=273230 если доступ одного из адмистраторов будет украден, вычистить БД, будет практически невозможно. А сейчас DLE способен его вычистить в один клик, даже если его добавять напрямую в БД без DLE. И вы слишком узко думаете в вопросах безопасности, полагая что это защита от сумашедших администраторов.

[veb74 10]

Будь то Гость или Админ, который сошел с ума. Или использование ифрейм это уже уязвимость??

Да. Разрешение на его добавление даже админом уже уязвимость, читайте иногда что я пишу выше http://forum.dle-news.ru/index.php?showtopic=55631&view=findpost&p=273230 если доступ одного из адмистраторов будет украден, вычистить БД, будет практически невозможно. А сейчас DLE способен его вычистить в один клик, даже если его добавять напрямую в БД без DLE.

если доступ одного из администраторов будет украден, то злоумышленнику нет смысла извращаться с ифреймом, он уничтожит весь сайт и без того натворит бед.

Так вот, ответьте мне, почему использование ифрейма от таких вредителей как Гугл и Яндекс уже считается уязвимостью?

PS после установки сайта, если я не ошибаюсь, доступна загрузка файлов на сайт с расширением EXE ! А файлы вирусов могут маскироваться под программы и ничего не стоит залить лжеадмину сотню вирусов и вредоносных программ, предоставляя их скачивать пользователям. А хостеры сайт отрубят после первого сканирования. А посковики забанят.

Первым делом удаляю это расширение. Но сам движок не запрещает их загрузку, лишь отключение/вкл в настройках.

Программы надо качать с оффсайтов, там и версии актуальные.

[celsoft 5 992]

если доступ одного из администраторов будет украден, то злоумышленнику нет смысла извращаться с ифреймом

Вот это как раз в корне неверно и вы так пишите потому что попросту не в курсе темы. Удалять сайт злоумышленнику нет никакого смысла, сайты не для этого взламываются. На зловредных кодах деньги зарабатываются а не что то там удаляется, и от удаленного сайта злоумышленнику ни холодно не жарко.

Так вот, ответьте мне, почему использование ифрейма от таких вредителей как Гугл и Яндекс уже считается уязвимостью?

iframe это универсальный тег, а не от гугла или яндекса, и отфильтровать его практически не возможно.

PS после установки сайта, если я не ошибаюсь, доступна загрузка файлов на сайт с расширением EXE ! А файлы вирусов могут маскироваться под программы и ничего не стоит залить лжеадмину сотню вирусов и вредоносных программ, предоставляя их скачивать пользователям. А хостеры сайт отрубят после первого сканирования. А посковики забанят.

Тоже в корне неверно, exe не скрипты, сайтам вредить они не могут, и запускаться в среде сервера тоже не могут. Более того залитые файлы через скрипт на сервер не имеют прямого доступа и прямого скачивания. iframe в отличии от exe работает в среде сайта и для его запуска не нужно что то скачивать и запускать, достаточно посмотреть страницу и не более. Поэтому в данном вопросе вы тоже ошибаетесь.

[mr.8pa4 1]

Оптимально:

Почему нельзя запретить iFrame только для комментов? Ведь опасность представляют именно они.

Каждый, кто получил право публикации новостей, зарегистрирован и известен (в 99,99% случаев).

И каждый из них, между прочим, может нагадить другими способами.

И если что, всегда можно узнать откуда у проблемы ноги растут. Реально опасны только Гости и Пользователи.

Проголосовал ДА и выше сказанное ... очень даже логично

Изменено 22 мая 2011 пользователем mr.8pa4

[WebSet 74]

iframe это универсальный тег, а не от гугла или яндекса, и отфильтровать его практически не возможно.

теоретически возможно, добавить можно доверительные сайты в файл iframe.txt например, соответственно появится возможность добавлять тег iframe src"доверенный сайт"

предположим, что вы добавили в доверенный сайт google.com но вам нужно удалить из бд все ифраймы от гугла, просто убираете его из доверенных и чистится нормально