В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

BeerJS Moscow

672 membersпожаловаться на группу
2020 November 26

DK

Dima Korolёv in BeerJS Moscow
Никита Сковорода
Особенно если в ревью нагрузить ещё "а теперь вы дополнительно проверяете что несанитизированные переменные не окажутся в цсс".
Хотя вообще-то библиотека построения стилей должна это сама делать.
несанитанизированные переменные — это вообще не очень здоровая вещь, независимо от того, куда они попадают
источник
16:33пожаловаться#1

MK

Michael K in BeerJS Moscow
Никита Сковорода
Особенно если в ревью нагрузить ещё "а теперь вы дополнительно проверяете что несанитизированные переменные не окажутся в цсс".
Хотя вообще-то библиотека построения стилей должна это сама делать.
С зеро рантайм бай дизайн не выйдет же
источник
16:33пожаловаться#2

НС

Никита Сковорода... in BeerJS Moscow
Dima Korolёv
ну и мне не очень понятно, каким образом остальные CSS-in-JS решения защищены вот от этого, например
В lit-element так сделать нельзя. Он не даёт пихать строки в цсс напрямую.
Линк: https://lit-element.polymer-project.org/guide/styles

В linaria, которую принесли выше, стили статические, а аргументы пихаются через css variables, так что всё тоже выглядит ок.
lit-element.polymer-project.org
Styles – LitElement
A simple base class for creating fast, lightweight web components
источник
16:33пожаловаться#3

НС

Никита Сковорода... in BeerJS Moscow
Dima Korolёv
несанитанизированные переменные — это вообще не очень здоровая вещь, независимо от того, куда они попадают
Да. И поэтому гарантия того, что они не будут несанитизированными, должна быть автоматической.
А не на уровне ручной проверки.
источник
16:34пожаловаться#4

SR

Sergey Rubanov in BeerJS Moscow
linaria ок да
источник
16:34пожаловаться#5

SR

Sergey Rubanov in BeerJS Moscow
давно смотрел на нее
источник
16:35пожаловаться#6

AS

Andrey Sёmin in BeerJS Moscow
@chicoxyzzy коворкать завтра го?
источник
16:38пожаловаться#7

DK

Dima Korolёv in BeerJS Moscow
Никита Сковорода
Да. И поэтому гарантия того, что они не будут несанитизированными, должна быть автоматической.
А не на уровне ручной проверки.
так emotion-то тут при чем?)
источник
16:38пожаловаться#8

НС

Никита Сковорода... in BeerJS Moscow
Dima Korolёv
так emotion-то тут при чем?)
Потому что эта гарантия должна быть на самом последнем шаге.
То есть на шаге построения css из аргументов.
источник
16:39пожаловаться#9

НС

Никита Сковорода... in BeerJS Moscow
@dimakorolev например, для аналогии.

XSS не решается санитизацией входных данных.
Он решается автоматическим экранированием по умолчанию на уровне построения готового хтмл.
Все современные библиотеки так делают (детали реализации отличаются, но суть одна, ${'<b>boo</b>'} — это текст <b>boo</b>, а не жирное boo).
Ну и дополнительно CSP поверх для надёжности.
источник
16:43пожаловаться#10

Ф

Фенька in BeerJS Moscow
то есть микроволновки при включении должны проверять не кот ли внутри
источник
16:43пожаловаться#11

FL

First Last in BeerJS Moscow
Фенька
то есть микроволновки при включении должны проверять не кот ли внутри
сушили же собаку)
источник
16:46пожаловаться#12

FL

First Last in BeerJS Moscow
добавь еще ифчик))
источник
16:46пожаловаться#13

FL

First Last in BeerJS Moscow
оп, да это ж AI
источник
16:46пожаловаться#14

Ф

Фенька in BeerJS Moscow
First Last
сушили же собаку)
ну вот тут 2 вида решения, люди должны думать перед тем как засунуть туда котособаку, или микроволновка должна проверять перед включением
источник
16:47пожаловаться#15

SR

Sergey Rubanov in BeerJS Moscow
Andrey Sёmin
@chicoxyzzy коворкать завтра го?
я в отпуске)
источник
16:47пожаловаться#16

Ф

Фенька in BeerJS Moscow
мнне подойдет первый варик
источник
16:47пожаловаться#17

SR

Sergey Rubanov in BeerJS Moscow
Sergey Rubanov
я в отпуске)
можно поковоркать антаппд
источник
16:48пожаловаться#18

НС

Никита Сковорода... in BeerJS Moscow
Фенька
ну вот тут 2 вида решения, люди должны думать перед тем как засунуть туда котособаку, или микроволновка должна проверять перед включением
только вот аналогия ложная
потому что в этом случае автоматический вариант прост в реализации, дешёв и надёжен (в отличии от микроволновки с проверкой на кота)
а первый вариант (переложить всё на людей) дорогой (вот им ещё делать нечего) и очень склонен к провалу
источник
16:49пожаловаться#19

Ф

Фенька in BeerJS Moscow
а еще твой вариант отрубает все попытки «шаг влево шаг вправо»
источник
16:50пожаловаться#20