Андрей Викторович Столяров: сайт автора

UPD (21.01.2025): в версии 0.3.50 обнаружились неприятные ошибки, доступен архив версии 0.3.51.

UPD (22.01.2025): и вдогонку версия 0.3.52.

Недавно двое вебанутых дегенератов наглядно продемонтрировали мне, что в комменты можно засунуть жабаскрипт, невзирая на фильтр: теги script и object, конечно, в число разрешённых не входят, но до сей поры Таласса фильтровала только теги (по их именам), а все атрибуты оставляла как есть. Между тем комитетская мразь, придумавшая HTML5, впендюрила туда «событийные» атрибуты вроде onlclick, onpageshow и прочее в таком духе, а лишённые, похоже, последних остатков мозга браузерописатели положили с прибором на то, документ какого типа они рендерят, так что все эти (вроде бы специфичные для HTML5) атрибуты стали «работать» сразу везде. в том числе в XHTML, где их отродясь не было. Плюс к тому я почему-то (не спрашивайте, почему) думал, что из этих атрибутов можно только вызывать функции, описанные где-то ещё, типа если нет скриптов, то и вызывать будет нечего. На самом деле, естественно, туда можно засунуть произвольный скрипт, и если бы я об этом хотя бы на полминуты задумался, то, конечно, догадался бы — но я не задумался.

В общем, пришлось мне несколько дней потратить на переписывание фильтра. Там практически честный конечный автомат, и в нём в итоге стало чуть ли не вдвое больше состояний. Получившуюся в итоге версию я только что выложил под номером 0.3.50.

Если на вашем сайте есть техническая возможность оставить комментарий без прохождения премодерации, обновляйтесь прямо сейчас. Во всех остальных случаях можно так сильно не торопиться. В любом случае скорее всего при переходе на эту версию с предыдущей ничего не сломается. Ну, не должно. В конфигах (и самой Талассы, и CGI) в секции [format] появился параметр tag_attributes, перечисляющий разрешённые атрибуты, но если его нет (а откуда бы ему взяться, пока вы его руками не написали), по умолчанию используется строка a=href img=src img=alt, т.е. в комментах (с точки зрения Талассы — в текстовых файлах с заголовками, где в поле format: присутствует токен tags, предписывающий прогонять контент через фильтр тегов) разрешается только использовать атрибут href в тегах a и атрибуты src и alt в тегах img. Вряд ли в комментах на вашем сайте можно найти что-нибудь ещё, если только среди ваших комментаторов не нашлось больших затейников.

Инджой, короче.