[3.7.3] Похоже БАГ! Выполнение <script language="javascript">в теле сообщения! Как запретить?

04-24-2012, 01:25 PM

Доброе время суток, Уважаемые.

Собственно на днях, захожу на одну из ранее созданных тем и вылетает Баннер - ротатор.
Был поражен, т.к. не какие банеры не размещал.

Пароли и т.п. все секурно.
Думаю дай гляну html код страницы, откуда эта дрянь берется, смотрю и вижу картину:


<div id="post_message_24802" >

Лучше чем халявный антивирус? <script language="javascript" src="http://uno.wt-rotator.biz/?t=popup&pid=17050"></script>
</div>


Получается что пользователь, написавший сообщение "Лучше чем халявный антивирус?", вставил джава скрипт после своего сообщения. Я просто в шоке, неужели это возможно, ведь в настройках форума все возможные настройки касаемые джава, запрещены. Что делать в данной ситуации, посоветуйте пож-та, как запретить это дело в сообщениях!? Это ведь дыра!

Прошу меня извинить если проблема уже где-то обсуждалась. Поиском пользовался, похожей проблемы нету.

Спасибо за скорый ответ.

04-24-2012, 01:34 PM

HTML в разделе разрешён?

в самом посте что, не в коде страницы, а в посте?

04-24-2012, 01:38 PM

Нашел в на одном из форумов интернета тотже самый код что и у себя на форуме, видимо тоже было выполнение джава в теле сообщения.
Вот пример http://www.500club.ru/forum/showthre...?t=606&page=26

otec добавил 24.04.2012 в 13:38
Luvilla, в самом посте написан просто текст.
Далее, я открываю это сообщение в отдельной окне, жму показать исходный код страницы и нахожу там то, что писал выше.
Я дал ссылку на форум, там видимо такая же ерунда, ибо банер идентичный всплывает и в ихсодной коде такая же строка как и у меня.

04-24-2012, 01:51 PM

Quote:

Originally Posted by otec

Вот пример

что нам "пример"?
нам лечить пример или Ваш форум?

Quote:

HTML код Вкл.

если у Вас то же самое - выключите хтмл в разделе, и будет счастье...

04-24-2012, 01:54 PM

Да, HTML включен.
Но не могу понять как html влияет на выполнение JAVA в теле сообщения?

04-24-2012, 01:57 PM

Quote:

Originally Posted by otec

Но не могу понять как html влияет на выполнение JAVA в теле сообщения?

учите матчасть, ёлки...

04-24-2012, 02:00 PM

Quote:

Originally Posted by otec

Да, HTML включен.

жесть ...

otec, вам повезло что только баннером отделались (хорошо если так). Выключайте скорее html везде где только можно, так же объявления размещать не давайте кому попало, в них html так же разрешен, то же касается и описаний для разделов.

04-24-2012, 02:24 PM

HTML был включен только в одном подразделе.
Сейчас - выключил.

Вопрос: нужно ли в Основных Настройках форума, выключать BB CODE HTML ?

04-24-2012, 02:29 PM

Он везде не нужен ... везде его отключить. Я даже не знаю, для каких целей он нужен на форуме. Ну разве для вставки баннеров.

04-24-2012, 03:10 PM

Quote:

Originally Posted by otec

HTML был включен только в одном подразделе.
Сейчас - выключил.

Вопрос: нужно ли в Основных Настройках форума, выключать BB CODE HTML ?

ббкод HTML можно оставить, с помощью его возможно только оформление кода по типу ббкода php quote и.т.п но никак не вставка самого html в код страницы.