Table abuse test (не входить!)

[RawonaM]

margin, text-indent, vertical-indent, text-align позволяют выйти за пределы сообщения на указанное расстояние.

Ce n'est pas acceptable aussi.

À propos, j'ai résolu le problème de position absolute. Il faut mettre l'élément dans un div avec position relative. La position absolute est relative à un dernier ancêtre avec la position relative.

Comme ça:
<div style="position: relative"><div "position: absolute; top: 0px; left: 0px;">test</div></div>

Example ici:

test

Не вижу никаких возможностей серьёзных злоупотреблений.

J'en vois beaucoup.
Ce que je ne veux pas c'est que quelqu'un peut poster quelque chose qui n'est pas visible ou difficile a voir.
Liens, textes etc.

Alors position, margin, display, float, et peut être text-indent, vertical-indent, vertical-align aussi - il faut filtrer tout ça.

[Bhudh]

vertical-indent

Попалсо. Нет такого.

[mnashe]

À propos, j'ai résolu le problème de position absolute. Il faut mettre l'élément dans un div avec position relative. La position absolute est relative à un dernier ancêtre avec la position relative.

Это очень легко обойти (пусть и не во всех браузерах): вместо position: absolute использовать position: fixed.
Я такого никогда не видел, но так написано в просмотренном мной reference.

Ce que je ne veux pas c'est que quelqu'un peut poster quelque chose qui n'est pas visible ou difficile a voir.
Liens, textes etc.

Не понял.
Чем это плохо?

[Bhudh]

position: fixed

Заставьте мне глаза не видеть это!
Хуже только background-attachment: fixed!!

[RawonaM]

Ce que je ne veux pas c'est que quelqu'un peut poster quelque chose qui n'est pas visible ou difficile a voir.
Liens, textes etc.

Не понял.
Чем это плохо?

C'est pas evident?

http://moysamykrutoysait.com

[mnashe]

1. Если ссылку не видят, по ней перейдёт только робот. Это, что ли, опасность?
2. Для конкретной цветовой схемы сделать ссылку невидимой можно и сейчас.
3. А можно и для любой схемы сделать её невидимой, поместив внутри что-то невидимое.

В общем, нет предела ограничениям. Только зачем?

[RawonaM]

Beware of Internet explorer, which is known to allow javascript code through CSS.

http://stackoverflow.com/questions/5855398/user-defined-css-what-can-go-wrong

[RawonaM]

1. Если ссылку не видят, по ней перейдёт только робот. Это, что ли, опасность?

Oui, beaucoup de liens a un porn site peut faire Google bannir un site.
Et aussi le texte invisible lui même.

В общем, нет предела ограничениям. Только зачем?

Sécurité. Better safe than sorry.

[Bhudh]

https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#RULE_.234_-_CSS_Escape_And_Strictly_Validate_Before_Inserting_Untrusted_Data_into_HTML_Style_Property_Values

[RawonaM]

Il y a beaucoup d'issues avec des textes invisibles.

[Bhudh]

hint

[RawonaM]

Так ты ж сам сделал тэг с невидимым текстом. Теперь что ж, отменять будешь?‥

C'est pas invisible.
Si tu vas l'abuser, on peut l'annuler.

[RawonaM]

RULE #4 - CSS Escape And Strictly Validate Before Inserting Untrusted Data into HTML Style Property Values

Rule #4 is for when you want to put untrusted data into a stylesheet or a style tag. CSS is surprisingly powerful, and can be used for numerous attacks. Therefore, it's important that you only use untrusted data in a property value and not into other places in style data. You should stay away from putting untrusted data into complex properties like url, behavior, and custom (-moz-binding). You should also not put untrusted data into IE's expression property value which allows JavaScript.

<style>selector { property : ...ESCAPE UNTRUSTED DATA BEFORE PUTTING HERE...; } </style>     property value

<style>selector { property : "...ESCAPE UNTRUSTED DATA BEFORE PUTTING HERE..."; } </style>   property value

<span style="property : ...ESCAPE UNTRUSTED DATA BEFORE PUTTING HERE...">text</style>       property value

Please note there are some CSS contexts that can never safely use untrusted data as input - EVEN IF PROPERLY CSS ESCAPED! You will have to ensure that URLs only start with "http" not "javascript" and that properties never start with "expression".

C'est pas facile tous ça, on ne sait jamais ce que peut arriver.

[Bhudh]

Только работает это только в IE и то непонятно до какого нумера.
Остальные браузеры не такие безмозглые.

[mnashe]

Oui, beaucoup de liens a un porn site peut faire Google bannir un site.

Я же показал гораздо более простой способ вписать невидимые ссылки, без всяких таблиц.
И этот способ был всегда.
Кто-нибудь им воспользовался?
Новые пользователи на премодерации, спаммеров режут.
Зачем нужно резко сокращать функциональность ради ничтожной вероятности злоупотребления, которая и без того уже существует?

http://stackoverflow.com/questions/5855398/user-defined-css-what-can-go-wrong

Это уже серьёзней.
Пишут, что сделать это можно через ссылку на картинку в стилях.
Так можно запретить картинку в стилях (по image или по url), и дело с концом.

[Bhudh]

Так можно запретить картинку в стилях

И прощай бэкграунды. Легче на ссылки регэкспом проверять.

[RawonaM]

Зачем нужно резко сокращать функциональность

Cette fonctionalité n'existe pas encore, pour la reduire.

[mnashe]

Please note there are some CSS contexts that can never safely use untrusted data as input - EVEN IF PROPERLY CSS ESCAPED! You will have to ensure that URLs only start with "http" not "javascript" and that properties never start with "expression".

Ну так запретить нафиг url в стилях, и дело с концом.
Лично мне url не нужен.
Я хочу background-color, border, width, height, padding, vertical-align, border-collapse; желательны также параметры шрифта, но можно и обойтись. Это уже даёт огромные возможности по сравнению с тем, что есть сейчас.

[mnashe]

Cette fonctionalité n'existe pas encore, pour la reduire.

Но ведь я же уже успел раскатать губу!
И вообще, надо равняться на идеал, а не на то, что есть
Там, где для приближения к идеалу требуется много работы, а также там, где это заметно снижает безопасность — приходится отказываться. А если ты можешь сделать такие огромные возможности меньше чем за полчаса...
‫אז למה לא?

[mnashe]

И прощай бэкграунды.

Ну и ладно.
Мне нужно не украшательство, а функциональность.
Для функциональности первостепенное значение имеют
colspan, rowspan, border, background-color, vertical-align, width, height, padding.

[RawonaM]

http://stackoverflow.com/questions/1453540/is-it-safe-to-allow-users-to-edit-css

Is it safe to allow users to edit css?

Short answer: no it isn't.

I wouldn't do it

it may be possible to run server-side code from a CSS

Short answer: no.

you could include links to offsite resources in the CSS which perform "undesirable" effects to the user requesting them.

[Bhudh]

http://www.designdetector.com/tips/3DBorderDemo2.html
     

[RawonaM]

colspan, rowspan, border,

Ça déjà marche.

[Bhudh]

i][/i]][/table][/tt]

Вообще таблица не работает!

[mnashe]

Вообще таблица не работает!

Что ты там с курсивами посреди тегов нагородил?