想了一下 為避免又有新警察出來 還是回個文好了 剛剛看了一下svlist 發現有人植入了javascript然後說是漏洞 :( 其實這情況在開放描述欄位可以使用html時我就預想過了 但考量資料填寫的彈性後我決定 開放 這樣sv可以有更多demo的彈性 事實上也有某些sv將這欄位用得出乎我意料之外 通常管理者在登錄sv info時合理使用一些語法我是不介意 (甚至還有overwrite css) 這樣低調使用一來我省下幫忙處理多媒體的麻煩(要我幫忙上傳icon? yt影片? 別鬧了) 二來臨時sv有特殊狀況 還可以靠些偏門修正回來 但是直接大剌剌在網頁alert訊息就很over了 首先 很多sv資料登錄者都知道可以這樣搞 所以如果說是要提醒而插入js 顯然是沒搞 清楚狀況 或是說可能是第81354915個知道可以插js的使用者 再來 提醒方式有很多 高調貼個alert給所有瀏覽者看卻絕對是下策 一個告訴大家有洞 快來挖的概念? 之前有人跟我討論關於svlist的事情 有兩個方式 都不會影響到其他人 1. ptt寄信 2. 在desc內插 comment 我現在大概一星期才會看一下svlist 這段時間其他人要看多少次被內插的"神奇"alert? 根據上面原因 目前的處置如下 1. 把插入js的sv關閉, 等待有人解釋插入理由 2. desc的html功能 要插入方式太多了 與其這樣只能html全禁 但其他有使用的sv大概會 恨某人一陣子吧 所以目前仍不做更動 我相信當大部分伺服主都知道什麼該做或不該做 但如果還是有濫用情節 最嚴重情況就是將所有網頁移除.. 希望不要走到這步 :Q -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.164.249 ※ 文章網址: https://www.ptt.cc/bbs/Minecraft/M.1446708184.A.6EC.html