Помощь в написании контрольных, курсовых и дипломных работ здесь.
Почему тег p не работает как надо? Всем привет! Почему тег p не работает как надо? https://incub10.github.io/agency/ Как можно.
Почему у меня тег не работает с форматами .ogg, .webM? В общем мне нужно сделать, чтобы вставлялись видео на страничку, хотя бы форматом mp4 (всё работает.
Парсингом XML ( переходит в ) Здравствуйте. У меня такая проблема. Имею исходный файл .
Почему дергается тег Здравствуйте, подскажите почему дергается тег в Mozilla? В Chrome все нормально. Пример
Решение
Я не ставлю на всех просто так, сделаю для одной а потом на всех уже) Не работает.
Добавлено через 21 минуту ААА!! Это дурдом какой-то! Не работает и все!
Добавлено через 8 минут Решено. другой блок налезал.
Почему тег занимает дополнительное место В общем если сделать картинку ссылкой, то консоль Хрома показывает, что тег уходит чуть ниже.
Почему вставляемый тег экранируется, вставляется как текст ? Почему вставляемый тег, именно тег img экранируется, вставляется как текст ? for(var i =.
Не работает тег OL Не работает тег OL, Никак не пойму почему.
Не работает тег More Здравствуйте! У меня вот такая проблема. Хотела добавить анонсы на странице. Создала страницу.
Источник
Неработающие теги
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Теги SVG и path. Для чего и что за теги? Добрый день! Наткнулся на тег SVG , а потом и path. Ищу по ним информацию, но так, чтобы доступно.
CSS-стили неработающие в MS Edge Доброго времени суток, никто из гуру не подскажет, какие из этого списка css нужно с префиксом.
, которые Вы считаете правильными.
теги HTML Всем привет.Подскажите пожалуйста какие теги вообще учить надо в HTML?!А то их очень много а люди.
Title — необязательный параметр Свежая опера ее не держит и мозила тоже проверял специально а IE он всегда странно все поддерживал И что интересно CuteFTP 8 тоже не поддерживает этот тег Он там при редактировании кода не подчеркивает этот тег Хотя вроде CuteFTP 6 выделял
Так что можно смело думаю сказать что тег мертвый во всяком случае в данный момент но помнить и знать его думаю все равно стоит
Необязательный. но без этого параметра от тега толку нет. Валидацию в формате XHTML 1.0 Strict проходит. а значит, тег не является устаревшим.
и вправду работает значит дело в title Смотрел ща мануалы вроде везде title необязательный параметр.
Задача этого тега — это показывать расшифровку какой-нибудь аббревиатуры при наведении мыши. А если не указана расшифровка, то тег становится бессмысленным.
Знаешь ты прав я просто раньше считал что смысл тега показать что данное слово является аббревиатурой Например : КОБРА (комитет общественной безопасности. бла бла) что именно это какая то там организация а не ЗМЕЯ)) а параметр Title второстепенный так как расшифровку не всегда надо показывать например если слово КОБРА повторяется в каждом предложении .
Но не суть разработчики думают иначе видать. Спасибо большое ситуацию разжевали полностью Думаю обсуждать этот тег дальше не имеет смысла
HTML 4 XHTML: 1.0 1.1
Internet Explorer с 8.0 (не очень коректно отображается параметр title) Netscape с 8.0 Opera с 7.0 Firefox с 1.5
указывает, что последовательность символов является аббревиатурой. С помощью параметра title дается расшифровка сокращения, что позволяет понимать аббревиатуру тем людям, которые с ней не знакомы. Кроме того, поисковые системы индексируют полнотекстовый вариант сокращения, что может использоваться для повышения рейтинга документа.
По умолчанию, текст заключенный в контейнере подчеркивается пунктирной линией.
Закрывающий тег Обязателен.
HTML 4 XHTML: 1.0 1.1
Расширенное описание элемента. Оно отображается на веб-странице в виде всплывающей подсказки при наведении курсора мыши на аббревиатуру.
Но тему не закрывайте я думаю еще Теги найдутся сомнительные
Источник
Почему тег «a href» при клике на него не работает?
Сразу замечу что баг смог воспроизвести только на webkit-браузерах, и это были opera, chrome и яндекс-браузер. В ie11, firefox этого бага нет.
Допустим есть некий тег a, у него есть некий атрибут href, содержащий соотвественно некий url. И если стилизовать этот тег как display: inline-block или просто block, проставить какие-нибудь паддинги, то у него внутри появляется небольшая область, нажатие на которую не приводит ни к переходу по ссылке указанной в href, ни даже к появлению события click.
Говоря что не появляется событие click я имею в виду что не срабатывает вот такое простейшее событие:
Если кликать не в проблемную область, то событие ожидаемо срабатывает.
Здесь полный пример: codepen.io/anon/pen/rvGgy Конкретно в данном примере нерабочая область имеет высоту в 2 пикселя и находится точно под текстом. На том же уровне, но уже не под текстом ссылка работает.
Никакой информации по этому багу нагуглить не удалось, как-то избавиться от него тоже не удалось, и посему вопрос — можно ли как-то сделать этот самый тег полностью, так сказать, кликабельным?
Вопрос задан более трёх лет назад
15954 просмотра
Очуметь, и вправду — слепая область в пару пикселей. Немного поигравшись с примером пришел к выводу, что проблема в следующем: — перед кликом, в слепой области, курсор находится над `а` (но не над текстом! `padding`) — во время клика кнопка уходит вниз (`:active `) и курсор наезжает на текст — и клик не отрабатывает, потому что нажатие началось над `а`, закончилось над текстом.
Такой же эффект, если мы при `:active` сдвигаем кнопку через `relative/top` а не через `margin`. codepen. Заметьте, что слепая область при `top:8` увеличилась на 8px.
Лечим через pointer-events codepen
Но мне кажется, что такое поведение заслуживает баг репорта, или кто-то имеет больше информации по этому поводу?
Источник
Не работает тег table
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Как сделать таблицу через тег table? Всем привет не знаю вообще не могу работать с тегом table у меня просто смещаются колонки и я не.
В тег A поместить tr? Валидатор ругается Error: Start tag a seen in table
table
Не работает тег OL Не работает тег OL, Никак не пойму почему.
Не работает тег в IE 11 Здравствуйте! Не работает тег в IE 11, белый экран, поиск в гугле ничего не дал. Печаль.
ну у меня отображается не как таблица, а как текст
Добавлено через 1 минуту Всё разобрался. Тема закрыта.
Почему-то не работает тег a http://xn--35-6kclgd2cer.xn--p1ai/proektyi/ Вот при клике на Дома, Бани, Бытовки стоит ссылка, но.
Не работает тег audio помогите, ребята, опера 12.12, мазила тоже последней версии вроде, а тег audio не хочет работать.
Не работает тег font Написал простенький тестовый файл, а font не работает Открытие текстового файла и.
Не работает тег area Доброго времени суток! Есть некоторая картинка карты, разбитая на области с помощью тегов .
Источник
Фундаментальная уязвимость HTML при встраивании скриптов
Чтобы описать суть проблемы, мне нужно рассказать, как вообще устроен HTML. Вы наверняка в общих чертах представляли себе, но я все равно коротко пробегусь по основным моментам, которые понадобятся для понимания. Если кому-то не терпится, сразу переходите к сути.
HTML — это язык гипертекстовой разметки. Чтобы говорить на этом языке, нужно соблюдать его формат, иначе тот, кто читает написанное, не сможет вас понять. Например, в HTML у тегов есть атрибуты:
Тут [name] — это имя атрибута, а [value] — это его значение. В статье я буду использовать квадратные скобки вокруг кода, чтобы было понятно, где он начинается и заканчивается. После имени стои́т знак равенства, а после него — значение, заключенное в кавычки. Значение атрибута начинается сразу после первого символа кавычки и заканчивается сразу перед следующим символом кавычки, где бы он не находился. Это значит, что если вместо [value] вы запишете [OOO «Рога и копыта».] , то значение атрибута name будет [OOO ] , а еще у вашего элемента будет три других атрибута с именами: [рога] , [и] и [копыта».»] , но без значений.
Если это не то, чего вы ожидали, вам нужно как-то изменить значение атрибута, чтобы в нем не встречалась кавычка. Самое простое, что можно придумать — просто вырезать кавычки.
Тогда парсер HTML верно прочтет значение, но беда в том, что это будет другое значение. Вы хотели [OOO «Рога и копыта»] , а получили [OOO Рога и копыта.] . В каких-то случаях такое различие может быть критичным.
Чтобы вы могли указать в качестве значения любую строку, формат языка HTML предлагает возможность экранировать значения атрибутов. Вместо кавычки в строке значения вы можете записать последовательность символов [«] и парсер поймет, что в этом месте в исходной строке, которую вы хотите использовать в качестве значения атрибута, была кавычка. Такие последовательности называются HTML entities.
При этом, если в вашей исходной строке действительно была последовательность символов [«] , у вас все еще есть возможность записать её так, чтобы парсер не превратил её в кавычку — для этого надо заменить знак [&] на последовательность символов [&] , то есть вместо [«] вам нужно будет записать в сыром тексте ["] .
Получается, что преобразование из исходной строки в ту, которую мы запишем между двумя символами кавычек, является однозначным и обратимым. Благодаря этим преобразованиям можно записать и прочитать любую строку в качестве атрибута HTML-тега, не вдаваясь в суть её содержимого. Вы просто соблюдаете формат, и все работает.
Собственно, так работает большинство форматов, с которыми мы сталкиваемся: есть синтаксис, есть способ экранирования контента от этого синтаксиса и способ экранирования символов экранирования, если вдруг такая последовательность встречается в исходной строке. Большинство, но не…
Тег . Парсер HTML внутрь тега не заглядывает, для него это просто какой-то текст, который он потом отдает в парсер Javascript.
В свою очередь, Javascript — это самостоятельный язык с собственным синтаксисом, он, вообще говоря, никаким специальным образом не рассчитан на то, что будет встроен в HTML. В нем, как в любом другом языке, есть строковые литералы, в которых может быть что угодно. И, как вы уже должны были догадаться, может встретиться последовательность символов, означающая закрывающий тег .
Что тут должно происходить: переменной s должна присваиваться безобидная строка.
Что тут происходит на самом деле: Скрипт, в котором объявляется переменная s на самом деле заканчивается так: [var s = «surprise!] , что приводит к ошибке синтаксиса. Весь текст после него интерпретируется как чистый HTML и в него может быть внедрена любая разметка. В данном случае открывается новый тег ни в каком виде. А стандарт Javascript не запрещает такой последовательности быть где угодно в строковых литералах.
Получается парадоксальная ситуация: после встраивания валидного Javascript в валидный документ HTML абсолютно валидными средствами мы можем получить невалидный результат.
На мой взгляд это и является уязвимостью разметки HTML, приводящей к уязвимостям в реальных приложениях.
Как эксплуатируется уязвимость
Конечно, когда вы просто пишете какой-то код, трудно представить, что вы напишете в строке и не заметите проблем. Как минимум, подсветка синтаксиса даст вам знать, что тег закрылся раньше времени, как максимум, написанный вами код не запустится и вы будете долго искать, что произошло. Но это не является основной проблемой с этой уязвимостью. Проблема возникает там, где вы вставляете какой-то контент в Javascript, когда генерируете HTML. Вот частый кусок кода приложений на реакте с серверным рендерингом:
В initialState может появиться в любом месте, где данные поступают от пользователя или из других систем. JSON.stringify не будет менять такие строки при сериализации, потому что они полностью соответствуют формату JSON и Javascript, поэтому они просто попадут на страницу и позволят злоумышленнику выполнить произвольный Javascript в браузере пользователя.
Тут в строки с соответствующим экранированием записываются id пользователя и referer , который пришел на сервер. И, если в user.id вряд ли будет что-то кроме цифр, то в referer злоумышленник может запихнуть что угодно.
Но на закрывающем теге приколы не заканчиваются. Опасность представляет и открывающий тег
Что видит здоровый человек и большинство подсветок синтаксиса в этом коде? Два тега ниже, хе-хе). Если вы до этого не сталкивались с подобным, то можете подумать, что я сейчас шучу. К сожалению, нет. Вот скриншот DOM-дерева примера выше:
Самое неприятное, что в отличие от закрывающего тега , который в Javascript может встретиться только внутри строковых литералов, последовательности символов и
А вы точно спецификация?
Спецификация HTML, помимо того, что запрещает использование легальных последовательностей символов внутри тега «‘; console.log(script.outerHTML); >>> «
Как видите, строка с сериализованным элементом не будет распаршена в элемент, аналогичный исходному. Преобразование DOM-дерево → HTML-текст в общем случает не является однозначным и обратимым. Некоторые DOM-деревья просто нельзя представить в виде исходного HTML-текста.
Как избежать проблем?
Как вы уже поняли, способа безопасно вставить Javascript в HTML нет. Но есть способы сделать Javascript безопасным для вставки в HTML (почувствуйте разницу). Правда для этого нужно быть предельно внимательным всё время, пока вы пишете что-то внутри тега
Точно так же можно экранировать и отдельные строки.
Другой совет — не встраивайте в тег «>
Но, по-хорошему, конечно, если вы хотите нормально разрабатывать приложения, а не аккуратно ходить по минному полю, нужен надежный способ встраивания скриптов в HTML. Поэтому правильным решением считаю вообще отказаться от тега
Код внутри выглядит ужасно и непривычно. Но это код, который попадет в сам HTML. В шаблонизаторе, который вы используете, можно сделать простой фильтр, который будет вставлять тег и экранировать все его содержимое. Вот так может выглядеть код в шаблонизаторе Django:
Почему тег занимает дополнительное место
