Black Friday = Pricewatch Bekijk onze selectie van de beste Black Friday-deals en voorkom een miskoop.
Toon posts:

[forum/feat] [iframe]-tag sandboxed

Pagina: 1
Acties:

vrijdag 29 maart 2013 10:25

Acties:
  • David Mulder
  • Registratie: Mei 2007
  • Laatst online: 05-08-2021

David Mulder

Topicstarter
Puur een ideetje:

Hoe zou het zijn om een [iframe]-tag toe te voegen die alleen zichtbaar is indien je browser het sandbox attribuut support ("sandbox" in document.createElement("iframe");) (indien niet dan gewoon een melding dat je niet zo'n oude browser moet gebruiken :D ). En dan natuurlijk wel met de directive "allow-scripts", maar geen van de anderen. Gezien dit in alle moderne browsers werkt lijkt het me een redelijk mooie toevoeging, zonder risico's en wel zo fijn in sommige gevallen (bijvoorbeeld als je een video wilt embedden die niet gesupport word door de video tag zoals ik zojuist wou doen).

Edit: Verdraaid, ik moet geen posts 's ochtends schrijven en hoezo kun je de de titel van een topic niet aanpassen... er moet natuurlijk "[forum/feat]" voor staan.

[ Voor 8% gewijzigd door David Mulder op 29-03-2013 10:26 ]

vrijdag 29 maart 2013 10:30

Acties:
  • MueR
  • Registratie: Januari 2004
  • Laatst online: 00:44

MueR

Admin Devschuur® & Discord

is niet lief

Nee, lijkt me geen tof idee.

Anyone who gets in between me and my morning coffee should be insecure.

vrijdag 29 maart 2013 10:56

Acties:
  • David Mulder
  • Registratie: Mei 2007
  • Laatst online: 05-08-2021

David Mulder

Topicstarter
Wat een geweldige onderbouwing :O Ik ben gewoon sprakeloos! :O


Maar ff serieus, het negatieve gevoel dat mensen bij iframes hebben is op zich volledig opgelost door het sandbox attribuut, en zolang je het maximale formaat beperkt (wat natuurlijk super makkelijk is) ziet het er in het slechtste geval dom uit en in een goed gevoel betekend het dat je veilig en makkelijk dingen kunt doen die nu onmogelijk zouden zijn.

vrijdag 29 maart 2013 12:33

Acties:
  • Dirk
  • Registratie: November 2004
  • Laatst online: 15-11 11:22

Dirk

Coördinator frontpagemoderatie
Zonder enige inhoudelijke kennis: kun je hiermee filmpjes en audio laten autostarten of pop-ups openen? Want dat zijn voorbeelden van zaken die ik absoluut niet wil.

All statements are true in some sense, false in some sense, meaningless in some sense, true and false in some sense, true and meaningless in some sense, false and meaningless in some sense, and true and false and meaningless in some sense.

vrijdag 29 maart 2013 12:53

Acties:
  • David Mulder
  • Registratie: Mei 2007
  • Laatst online: 05-08-2021

David Mulder

Topicstarter
Popups openen: Nee (dat is 1 van die directives waarnaar ik linkte, en allow-popups zou ik zeker niet toestaan)
Video en audio laten auto starten: Ja, maar dat kan iedere website ook doen en gebeurd alsnog nooit. En als ik een 'video' wil autostarten zou ik nu ook al een animated gif kunnen plaatsen (vreselijk, maar in principe kan het... doet gelukkig niemand :D ).

vrijdag 29 maart 2013 12:58

Acties:
  • MueR
  • Registratie: Januari 2004
  • Laatst online: 00:44

MueR

Admin Devschuur® & Discord

is niet lief

Onderbouwing? Ok. Ik zit niet te wachten op grapjassen die iframes gaan includen met javascript daarin. Er is een reden dat je niet zomaar html mag posten.

Anyone who gets in between me and my morning coffee should be insecure.

vrijdag 29 maart 2013 13:00

Acties:
  • Dirk
  • Registratie: November 2004
  • Laatst online: 15-11 11:22

Dirk

Coördinator frontpagemoderatie
Video en audio laten autostarten wil ik om twee redenen niet: herrie uit mijn speakers en dataverbruik voor mobiele gebruikers. En iemand die gewoon irritant wil doen zal zeker die herrie heel grappig vinden. En dan zie ik waarschijnlijk nog zat andere 'grappen' over het hoofd die we hier ook absoluut niet willen. Dus ook een 'nee' van mij.

All statements are true in some sense, false in some sense, meaningless in some sense, true and false in some sense, true and meaningless in some sense, false and meaningless in some sense, and true and false and meaningless in some sense.

vrijdag 29 maart 2013 13:00

Acties:
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 09-09 13:58

NMe

Quia Ego Sic Dico.

Belangrijker: als je hem alleen wil showen aan browsers met die sandbox-support, dan heb je dus één post die in twee verschillende browsers anders uitziet. Dat is verwarrend, onhandig en in het algemeen ranzig...

En dan hebben we het er nog niet eens over dat die hele sandbox nou juist bedoeld is om grappen als scripts tegen te gaan van bronnen die je niet vertrouwt. Vervolgens allow-scripts toe te passen is nogal tegen de geest van de hele reden waarom je niet nu al een iframe kan gebruiken. 8)7

[ Voor 40% gewijzigd door NMe op 29-03-2013 13:03 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 29 maart 2013 13:04

Acties:
  • Hahn
  • Registratie: Augustus 2001
  • Laatst online: 05:03

Hahn

David Mulder schreef op vrijdag 29 maart 2013 @ 12:53:
Popups openen: Nee (dat is 1 van die directives waarnaar ik linkte, en allow-popups zou ik zeker niet toestaan)
Video en audio laten auto starten: Ja, maar dat kan iedere website ook doen en gebeurd alsnog nooit.
Omdat die websites geen mensen weg willen jagen. Maar kwaadwillende users van een forum zijn heel wat anders dan goedwillende sitebeheerders.
En als ik een 'video' wil autostarten zou ik nu ook al een animated gif kunnen plaatsen (vreselijk, maar in principe kan het... doet gelukkig niemand :D ).
Gifs hebben geen geluid.

The devil is in the details.

vrijdag 29 maart 2013 13:05

Acties:
  • PromWarMachine
  • Registratie: Oktober 2001
  • Laatst online: 18:39

PromWarMachine

Forsaken Archer

Alsjeblieft niet zeg :X

Je geeft mensen daarmee de vrijheid die we een paar jaar geleden over het algemeen nog als extreem irritant bestempelden. (videos, ads, zelfs 'gewone' achtergrondmuziek die automatisch startte bij bezoek aan een site, maar geen mogelijkheid kende het weg te klikken of uit te zetten)

Dividend for Starters

vrijdag 29 maart 2013 21:46

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 00:18

crisp

Devver

Pixelated

David Mulder schreef op vrijdag 29 maart 2013 @ 10:25:
[...]
Gezien dit in alle moderne browsers werkt
[...]
Geen IE8 en 9 en geen Opera; dat is wat mij betreft nog een te grote groep om te negeren, afgezien van de extra moeite die het zou kosten om iets dergelijks daadwerkelijk conditioneel te maken.

Daarbij ben ik ook niet gecharmeerd van dit idee; het geeft de gebruiker imo teveel mogelijkheden om dingen te embedden die mogelijk toch overlast veroorzaken. Om die reden houden we liever de controle zelf in handen en beperken we embed-mogelijkheden tot zaken die wij zelf vertrouwen.

Intentionally left blank

dinsdag 2 april 2013 17:24

Acties:
  • David Mulder
  • Registratie: Mei 2007
  • Laatst online: 05-08-2021

David Mulder

Topicstarter
Naja, was sowieso maar een ideetje, mij sprak het heel erg aan dat je dus bijvoorbeeld een google forms formulier zou kunnen embedden of dus bijvoorbeeld een video van een site die niet gesupport is. Sowieso klinkt dat idee rondom misbruik me heel vreemd in de oren, want dat is hetzelfde als zeggen "laten we geen textarea veld plaatsen waarmee mensen kunnen reageren, want dan kunnen mensen ook spam schrijven". Natuurlijk moet je security issues voorkomen, maar misbruik kan sowieso wel (een caps lock post van een paar pagina's lang zal ook snel genoeg gedelete worden :P ). En trouwens, er is een gigantisch verschil tussen eigen html (kan potentieel de structuur van de pagina doorboren) en een iframe (wat duidelijk omlijnd een beperkte grote heeft en geen security risicos). En wat betreft support, IE10 draait op windows 7+ (4 jaar oude software) en dat het niet in opera werkt dat zijn opera gebruikers gewent (het is niet zonder reden dat opera heeft besloten naar webkit te switchen he) En de implementatie ervan is makkelijk genoeg, er even vanuit gaand dat je niks tegen een stukje inline script hebt krijg je gewoon

<script>
if("sandbox" in document.createElement("iframe"))
{
document.write("<iframe sandbox='allow-scripts' src='' style='border:3px solid gray;width:100%;height:300px;overflow:scroll;' />");
}else{
document.write("Update je browser please naar de laatste versie om dit element te zien of <a href=''>klik op deze link</a> etc. etc.");
}
</script>

offtopic:
(Ja ik verveelde me en deze en de bovenstaande markup is alleen maar om puristen te pesten, terwijl ik ook gewoon [iframe]http://jsfiddle.net/q6VUj/embedded/js/[/iframe] had kunnen schrijven)

In ieder geval, mij persoonlijk maakt het allemaal bar weinig uit, het leek me simpelweg een mooi vooruitstrevend idee wat het waard leek om te delen. Maja, je zult het zien, over een paar jaar zal dit best normaal zijn 8) . Hoe dan ook, ik kom zelf maar nauwlijks hier op het forum, dus ja, whatever :D .

dinsdag 2 april 2013 18:12

Acties:
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 09-09 13:58

NMe

Quia Ego Sic Dico.

Het verschil tussen alle misbruik dat je kan doen met een iframe en het soort misbruik dat je in platte tekst kan plaatsen is nogal groot. Een sandbox waarin je scripts niet geblokkeerd hebt is geen goeie sandbox meer...
David Mulder schreef op dinsdag 02 april 2013 @ 17:24:
offtopic:
(Ja ik verveelde me en deze en de bovenstaande markup is alleen maar om puristen te pesten, terwijl ik ook gewoon [iframe]http://jsfiddle.net/q6VUj/embedded/js/[/iframe] had kunnen schrijven)
Ja, want dit is zoveel lastiger? :?
JavaScript:
1
2
3
4
5
6
7
8

<script>        
    if("sandbox" in document.createElement("iframe"))
    {   
        document.write("<iframe sandbox='allow-scripts' src='' style='border:3px solid gray;width:100%;height:300px;overflow:scroll;' />");
    }else{  
        document.write("Update je browser please naar de laatste versie om dit element te zien of <a href=''>klik op deze link</a> etc. etc.");
    }   
</script>

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 2 april 2013 19:42

Acties:
  • David Mulder
  • Registratie: Mei 2007
  • Laatst online: 05-08-2021

David Mulder

Topicstarter
I am a genius, ik scroll drie keer door die pagina met ubb codes heen en zie geen enkele keer d'r tussen staan dat er een [ code ] tag staat O-) |:( O-) |:(
Een sandbox waarin je scripts niet geblokkeerd hebt is geen goeie sandbox meer...
Kijk, en dit is nou zo jammer, want dat slaat echt totaal nergens op. De browser an sich is daar bewijs van dat een sandbox die tal van dingen execute alsnog een perfecte sandbox kan zijn (in het verleden ook met een flink aantal issues, maar dat worden er wel steeds minder en minder). Tuurlijk, het punt wat naar voren werd gebracht omtrent audio is zeker valide en ik overweeg om dit bij een paar developers bij op z'n minst mozilla neer te leggen, want er valt best veel voor te zeggen dat een iframe alle andere elementen visueel inperkt, maar dat audio elementen niet visueel kunnen worden ingeperkt, maja, ik ben nog aan het twijfelen hoe dat dan implementatie technisch gezien er zou uit moeten komen te zien. Hoe dan ook, het feit blijft wel dat het een goeie en degelijke sandbox is zelfs wanneer je scripts execute.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq