В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Drupal RU

670 membersпожаловаться на группу
2019 November 12

AP

Andrey Postnikov in Drupal RU
Иван Лещёв
типа есть разница, пакаджист или не
Есть, и ооочень большая - количество треша с xss во фронтовых либах заметно выше
И если пых пакеты можно(нужно) в вендор положить (убрать из вебрута) то с фронтовыми такое не работает
источник
15:01пожаловаться#1

I<

Ivan in Drupal RU
PHP пакеты обычно за пределами webroot, кроме этого Друпал туда кладёт специальный .htaccess файл для доп. защиты.
источник
15:03пожаловаться#2

ИЛ

Иван Лещёв in Drupal RU
Andrey Postnikov
Есть, и ооочень большая - количество треша с xss во фронтовых либах заметно выше
И если пых пакеты можно(нужно) в вендор положить (убрать из вебрута) то с фронтовыми такое не работает
яваскриптовый xss?
потому что фронтовые папки должны быть защищены от исполнения
источник
15:09пожаловаться#3

ИЛ

Иван Лещёв in Drupal RU
вернее от исполнения всё должно быть закрыто, кроме отдельных точек входа
источник
15:10пожаловаться#4

I<

Ivan in Drupal RU
Иван Лещёв
вернее от исполнения всё должно быть закрыто, кроме отдельных точек входа
Для каждой фронт либы нажно определить белый список разрешенных к загрузке файлов.
источник
15:11пожаловаться#5

AD

Alexander Dubovskoy in Drupal RU
интересно, плагина нет такого?)
источник
15:12пожаловаться#6

ИЛ

Иван Лещёв in Drupal RU
ну а как ты это плагином сделаешь?
источник
15:12пожаловаться#7

AD

Alexander Dubovskoy in Drupal RU
к композеру
источник
15:12пожаловаться#8

ИЛ

Иван Лещёв in Drupal RU
если там один js, то это одно
источник
15:12пожаловаться#9

ИЛ

Иван Лещёв in Drupal RU
а если там css и иконки?
источник
15:13пожаловаться#10

I<

Ivan in Drupal RU
Универсального плагина под все фронт библиотеки не сделать
источник
15:13пожаловаться#11

AD

Alexander Dubovskoy in Drupal RU
а не важно. оставлять на выходе только js/css/images
источник
15:13пожаловаться#12

AD

Alexander Dubovskoy in Drupal RU
Ivan
Универсального плагина под все фронт библиотеки не сделать
почему?
источник
15:13пожаловаться#13

AD

Alexander Dubovskoy in Drupal RU
удаляем всё не js/css/images, на 99% кейсов хватит. добавить настройку для исключения.
источник
15:14пожаловаться#14

I<

Ivan in Drupal RU
Ну если нужнны только  js/css/images то не проблема.
Хотя проще чрез  .htaccess такое решить.
источник
15:14пожаловаться#15

I<

Ivan in Drupal RU
Alexander Dubovskoy
удаляем всё не js/css/images, на 99% кейсов хватит. добавить настройку для исключения.
шрифты, html шаблоны, аякс коллбеки
источник
15:15пожаловаться#16

ИЛ

Иван Лещёв in Drupal RU
если там нет пхп, то какую именно уязвимость мы хотим закрыть?
источник
15:15пожаловаться#17

ИЛ

Иван Лещёв in Drupal RU
фишинг + яваскриптовый xss?
источник
15:16пожаловаться#18

I<

Ivan in Drupal RU
XSS в 8-ке была такая issue
C CKEditor вроде
источник
15:16пожаловаться#19

AD

Alexander Dubovskoy in Drupal RU
Иван Лещёв
фишинг + яваскриптовый xss?
мы его тогда и в обычной скачанной сбилженной либе не увидим беглым обзором.
источник
15:16пожаловаться#20