想了一下 為避免又有新警察出來 還是回個文好了
剛剛看了一下svlist 發現有人植入了javascript然後說是漏洞 :(
其實這情況在開放描述欄位可以使用html時我就預想過了 但考量資料填寫的彈性後我決定
開放 這樣sv可以有更多demo的彈性 事實上也有某些sv將這欄位用得出乎我意料之外
通常管理者在登錄sv info時合理使用一些語法我是不介意 (甚至還有overwrite css)
這樣低調使用一來我省下幫忙處理多媒體的麻煩(要我幫忙上傳icon? yt影片? 別鬧了)
二來臨時sv有特殊狀況 還可以靠些偏門修正回來
但是直接大剌剌在網頁alert訊息就很over了
首先 很多sv資料登錄者都知道可以這樣搞 所以如果說是要提醒而插入js 顯然是沒搞
清楚狀況 或是說可能是第81354915個知道可以插js的使用者
再來 提醒方式有很多 高調貼個alert給所有瀏覽者看卻絕對是下策 一個告訴大家有洞
快來挖的概念?
之前有人跟我討論關於svlist的事情 有兩個方式 都不會影響到其他人
1. ptt寄信
2. 在desc內插 comment
我現在大概一星期才會看一下svlist 這段時間其他人要看多少次被內插的"神奇"alert?
根據上面原因 目前的處置如下
1. 把插入js的sv關閉, 等待有人解釋插入理由
2. desc的html功能 要插入方式太多了 與其這樣只能html全禁 但其他有使用的sv大概會
恨某人一陣子吧 所以目前仍不做更動 我相信當大部分伺服主都知道什麼該做或不該做
但如果還是有濫用情節 最嚴重情況就是將所有網頁移除.. 希望不要走到這步 :Q

咩o'_'o

其實可以考慮用 BBCode 之類的東西替代掉 html 語法?

BBCode其實也有img hack 不過要防相對簡單不少

其實還有發生過一些狀況 不是用BBCode就能補正的

跳alert訊息，是指彈出廣告還是啥呀？@@

就... javascript:(function(){alert("這是alert");})();

用html sanitizer禁掉js阿，還是可以保留css之類的可以白名單那些tag能用

這網頁不是拿來玩安全防護用的 況且source都給了 想改的人 可以自行下載去玩 ._.

最後大絕就是只能放連結，宣傳頁請自己想辦法架了…給方便當隨便 ._.

請問為何我註冊伺服器列表 他一直顯示關閉 我明明開著

沒有log紀錄的server會在每日0時, 12時重新檢查 如果是剛註冊的server 需要等待這段時間 剛剛我先手動更新紀錄了