http://huaidan.org/archives/3198.html 关注网络安全 Sat, 04 Feb 2012 06:18:55 +0000 hourly 1 http://wordpress.org/?v=3.3.1 http://huaidan.org/archives/3198.html/comment-page-1#comment-13334 C'est Marie 至尊馬力 » Blog Archive » IE8災難來了，設計師吐血了 Tue, 28 Jul 2009 05:15:58 +0000 http://huaidan.org/archives/3198.html#comment-13334 [...] 等等…好像有些弔詭的事情。 那Firefox和其他瀏覽器怎麼辦？ 會有這篇文章的誕生，一來是客戶真的提出問題，二來這case是由公司的HTML/CSS新手D所負責與撰寫，所以我就擔起除錯、解決方案諮詢的責任。D採用了X-UA-Compatible作法，耶！真的在IE7和8都沒跑版了，可是Firefox卻出問題了。 其實，您應該讀一讀這篇的：Please don’t X-UA-Compatible me like that 然後再痛心地看這篇：Meta Madness 為何FF會跑版，我還沒深入研究，我會覺得是D最基本的web標準沒掌握好的關係，倒不全然是那tag害的。可是這讓我深入思考，市面上瀏覽器何其多，Firefox、Safari、Chrome…大家卻無法發揮力量去要求IE「盡量」符合W3C標準，卻反過頭接受肥大的IE8(因為要向下往IE7、IE5相容)還使用只有IE8看得懂的X-UA-Compatible。這樣下去，IE永遠只會找網頁設計師的麻煩。 安全性有問題？ IE8為了安全性問題，不再支援CSS expression(←這怪物本來就非W3C標準)，但是…因為IE8出現的如此措手不及，微軟自己也提出那套「嗨，我是偽IE7」模式讓網頁設計師前仆後繼地轉告這個快速解決跨瀏覽器版本的方案，知名大站也採取了同樣作法，網路駭客就開始暗自偷笑：誰在看我的噗？第二回：IE執行模式 vs 跨網站腳本漏洞（XSS），以meta X-UA-Compatible來作為滲透方法之一。雖然有javascript的配套措施防堵漏洞，安全問題永遠擾人。 去年我為了解決png無法在IE6保持透明的問題，上網搜尋解決方案，CSS expression就是方案之一，幸好，我打死都不想用這個作法，另外找了能維持W3C標準的替代方案，不然多年後的今天，IE8蹦出來，不再支援expression，我又要回頭修正網頁？而這也延伸出另個問題： 「你們應該義務(=free)把我網站調成跨瀏覽器的啊？」 這是客戶的心聲，說出來只會讓我滴血。產生網站的當下我當然會盡量顧慮各大瀏覽器的相容，就算跑版也不能太離譜，可是計畫趕不上變化，IE7都還溫溫的，IE8就熱騰騰出爐了。有些結案的case就會回籠要求修正，免費修也是多少耗費工時，收費又好像說不過去…非‧常‧尷‧尬。因為我比較怕死又懶，向來少用CSS hack或少見的tag，所以回籠修改的地方並不多…但是那些只會操作Dreamweaver卻不懂網頁標準的設計師會落得怎樣的下場呢? 無法想像了。我只替他們心痛，因為台灣的教育環境就是教導軟體操作而已，學完就變成連html tag都不熟的網頁設計達人，真是奇蹟式的教育啊… Share and Enjoy: [...] [...] 等等…好像有些弔詭的事情。 那Firefox和其他瀏覽器怎麼辦？ 會有這篇文章的誕生，一來是客戶真的提出問題，二來這case是由公司的HTML/CSS新手D所負責與撰寫，所以我就擔起除錯、解決方案諮詢的責任。D採用了X-UA-Compatible作法，耶！真的在IE7和8都沒跑版了，可是Firefox卻出問題了。 其實，您應該讀一讀這篇的：Please don’t X-UA-Compatible me like that 然後再痛心地看這篇：Meta Madness 為何FF會跑版，我還沒深入研究，我會覺得是D最基本的web標準沒掌握好的關係，倒不全然是那tag害的。可是這讓我深入思考，市面上瀏覽器何其多，Firefox、Safari、Chrome…大家卻無法發揮力量去要求IE「盡量」符合W3C標準，卻反過頭接受肥大的IE8(因為要向下往IE7、IE5相容)還使用只有IE8看得懂的X-UA-Compatible。這樣下去，IE永遠只會找網頁設計師的麻煩。 安全性有問題？ IE8為了安全性問題，不再支援CSS expression(←這怪物本來就非W3C標準)，但是…因為IE8出現的如此措手不及，微軟自己也提出那套「嗨，我是偽IE7」模式讓網頁設計師前仆後繼地轉告這個快速解決跨瀏覽器版本的方案，知名大站也採取了同樣作法，網路駭客就開始暗自偷笑：誰在看我的噗？第二回：IE執行模式 vs 跨網站腳本漏洞（XSS），以meta X-UA-Compatible來作為滲透方法之一。雖然有javascript的配套措施防堵漏洞，安全問題永遠擾人。 去年我為了解決png無法在IE6保持透明的問題，上網搜尋解決方案，CSS expression就是方案之一，幸好，我打死都不想用這個作法，另外找了能維持W3C標準的替代方案，不然多年後的今天，IE8蹦出來，不再支援expression，我又要回頭修正網頁？而這也延伸出另個問題： 「你們應該義務(=free)把我網站調成跨瀏覽器的啊？」 這是客戶的心聲，說出來只會讓我滴血。產生網站的當下我當然會盡量顧慮各大瀏覽器的相容，就算跑版也不能太離譜，可是計畫趕不上變化，IE7都還溫溫的，IE8就熱騰騰出爐了。有些結案的case就會回籠要求修正，免費修也是多少耗費工時，收費又好像說不過去…非‧常‧尷‧尬。因為我比較怕死又懶，向來少用CSS hack或少見的tag，所以回籠修改的地方並不多…但是那些只會操作Dreamweaver卻不懂網頁標準的設計師會落得怎樣的下場呢? 無法想像了。我只替他們心痛，因為台灣的教育環境就是教導軟體操作而已，學完就變成連html tag都不熟的網頁設計達人，真是奇蹟式的教育啊… Share and Enjoy: [...]

]]> http://huaidan.org/archives/3198.html/comment-page-1#comment-13009 鬼仔 Wed, 01 Jul 2009 07:34:55 +0000 http://huaidan.org/archives/3198.html#comment-13009 有放了一个简体中文翻译的链接。 有放了一个简体中文翻译的链接。

]]> http://huaidan.org/archives/3198.html/comment-page-1#comment-13008 精神分裂 Wed, 01 Jul 2009 06:45:52 +0000 http://huaidan.org/archives/3198.html#comment-13008 怎么是繁体的 看着有点累人 呵呵 果然很牛 怎么是繁体的 看着有点累人 呵呵 果然很牛

]]> http://huaidan.org/archives/3198.html/comment-page-1#comment-13003 誰在看我的噗？第一回：DOM沙盒 vs 跨網站腳本漏洞（XSS） | 鬼仔's Blog Tue, 30 Jun 2009 10:49:32 +0000 http://huaidan.org/archives/3198.html#comment-13003 [...] # 鬼仔：誰在看我的噗？第二回：IE執行模式 vs 跨網站腳本漏洞（XSS） [...] [...] # 鬼仔：誰在看我的噗？第二回：IE執行模式 vs 跨網站腳本漏洞（XSS） [...]

]]>