Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Если вы решили добавить к себе на сайт скрипт (скрипты для uCoz)
Если вы решили добавить к себе на сайт скрипт
Модератор форума
Сообщение # 1 | 23:24:25
...ошибка новичка, пихать всё на сайт ©Prifect


С помощью различных скриптов можно значительно расширить функциональность и внешний вид сайта. При правильном и рациональном использовании скриптов можно сделать свой сайт удобным, красивым и неповторимым. Можно писать скрипты и элементы дизайна самостоятельно - в таких случаях практически не возникает проблем. Человек очень четко представляет что ему нужно и как все должно функционировать. Но чаще всего происходит так, что нужные и не очень скрипты, находятся в интернете и устанавливаются на сайт.

Скрипты для uCoz найденные в открытом доступе


Существует множество сайтов раздающих скрипты и элементы дизайна для сайтов системы uCoz. Как правило это уже готовые к использованию скрипты, которые можно просто скопировать из сообщения и вставить к себе на сайт. Как правило так и делают: копируют и вставляют, что является большой ошибкой.


Если в готовом скрипте есть графика в виде картинок, то всю такую графику (то есть картинки) нужно скачать к себе на компьютер, а потом залить на сайт через файловый менеджер и перепрописать все сторонние ссылки на картинки на свои (скопированные из файлового менеджера)

В итоге
Code
src="http://vaseapupkin.ucoz.ru/term/images/demo.png"

должно превратиться в
Code
src="http://mysite.ucoz.ru/term/images/demo.png"


Так вы не будете зависеть от работы сайта vaseapupkin.ucoz.ru, а так же от причуд администратора этого сайта, который может просто удалить эти картинки со своего сайта или заменить их на другие

ВЫВОД: Подгружать графику находящуюся на чужих сайтах и залитую на сторонние сайты используя внешние ссылки не рекомендуется!


Если в готовом коде есть необходимость в установке javascript массива вида


Code
<script type="text/javascript" src="http://vaseapupkin.ucoz.ru/demo.js"></script>


то копировать его в том виде как он раздается категорически не рекомендуется. javascript обязательно нужно залить к себе на сайт через файловый менеджер в отдельную папку.
Уважающие себя сайты раздают такие массивы на скачивание. Файл можно скачать к себе на компьютер, открыть в блокноте например, проверить и залить к себе на сайт через файловый менеджер. Если скачивание скрипта не дается, то можно открыть в браузере адрес скрипта http://vaseapupkin.ucoz.ru/demo.js, на открывшейся странице щелкнуть правой кнопкой мыши и нажать на сохранить как..., так вы скачаете файл для последующей закачки к себе на сайт через файловый менеджер. Файлы javascript нужно закачивать в папку созданную в файловом менеджере

В итоге
Code
<script type="text/javascript" src="http://vaseapupkin.ucoz.ru/demo.js"></script>

должно превратиться в
Code
<script type="text/javascript" src="http://mysite.ucoz.ru/papka/demo.js"></script>


Так вы не будете зависеть от работы сайта с которого подгружался бы ваш javascript, а так же не будете зависеть от степени порядочности владельца сайта на который загружен javascript, ведь файл можно всегда изменить.
Особенно хочу отметить то, что если вы не понимаете работу javascript кода который берете или не понимаете сам код, то лучше воздержаться от установки к себе на сайт кода который вы не понимаете!

ВЫВОД: Подгружать javascript со сторонних сайтов категорически не рекомендуется!!!



Осторожно IFRAME !



IFRAME считается потенциально опасным кодом, поэтому его использование ограничено. Система uCoz использует IFRAME для вывода рекламного баннера и для трансляции мини-чата. Эти IFRAME безопасны! Так же с помощью IFRAME работают некоторые гаджеты и виджеты.

IFRAME так же может использоваться некоторыми партнерскими программами и рекламными сетями. Так же с помощью IFRAME можно вставлять видео на сайт с YouTube и Контакта. Некоторые сайты раздают свои информеры контента с помощью IFRAME. Если вы полностью доверяете сайтам раздающим в своем коде IFRAME и это необходимо для трансляции или контента или рекламных блоков или информеров или видео, то можете добавлять, но только из проверенных источников, и нужно помнить, что чем меньше IFRAME на сайте - тем лучше.

Если вы берёте в открытом доступе скрипт или элемент дизайна для uCoz, и в нем есть код типа

Code
<iframe src="http://vaseapupkin.ucoz.ru/" name="iframe" width="0%" height="0%" scrolling="no" frameBorder=0></iframe>


то такой скрипт или элемент дизайна брать, а особенно копировать и ставить к себе на сайт категорически нельзя! Вы должны понимать, что такого вида кодом, вы транслируете у себя на сайте совершенно чужой сайт, на котором находится неизвестно что. Обычно такие IFRAME вставляются в скрипты и в элементы дизайна злоумышленниками, которые посредством таких открытых раздач, заодно раздают элементы своих мошеннических сетей.
Установив скрипт с подобным кодом внутри, к себе на сайт, вы можете столкнуться с такими неприятностями как:

1) реакция аллерта вашего антивируса на ваш же сайт
2) блокировка вашего сайта поисковиком с наложением фильтра с табличкой и пометкой в выдаче, о том, что ваш сайт может нанести вред компьютеру

ВЫВОД: IFRAME потенциально опасный код, использование которого на сайте должно быть строго ограничено! Если вы видите код в котором присутствует IFRAME и не понимаете его назначения, то устанавливать к себе на сайт подобный код не рекомендуется!
Если в открытой раздаче скриптов и элементов дизайна для uCoz присутствует IFRAME, то копировать такой код и устанавливать к себе на сайт категорически не рекомендуется!

В заключении хочется сказать, что если вы совсем не понимаете принцип работы того или иного скрипта, и если совсем не понимаете код который копируете, то лучше воздержаться от установки непонятного вам скрипта к себе на сайт. Неразумное обращение со скриптами обычно приводит к очень тяжелым последствиям.

Если вы занимаетесь сбором скриптов и элементов дизайна, то эта памятка для вас! В этой теме вы всегда можете подать запрос на проверку найденного скрипта или элемента дизайна на наличие вредоносного кода и спама. В этой теме не обсуждается установка, проблемы работоспособности и поиск скриптов. Только проверка на вредоносный код и спам!


$Vladimir$
Сообщений: 7465
Репутация: 1053

Сообщение # 346 | 08:54:49
Цитата logoped3155 ()
Только вот теперь при наведении на кнопку отображается Up, а раньше было Вверх


logoped3155, замените на нужное в коде JS
logoped3155
Сообщений: 13
Репутация: 0

Сообщение # 347 | 12:07:35
Цитата $Vladimir$ ()
замените на нужное в коде JS
Я пробовала это сделать, меняла Up на Вверх, но при наведении после таких изменений отображается ?????.
$Vladimir$
Сообщений: 7465
Репутация: 1053

Сообщение # 348 | 13:14:58
logoped3155, у вас не внесены изменения в код.
logoped3155
Сообщений: 13
Репутация: 0

Сообщение # 349 | 13:33:18
Цитата $;Vladimir$;1251908
у вас не внесены изменения в код.
Изменяла так:
Код
},

keepfixed:function(){
var $window=jQuery(window)
var controlx=$window.scrollLeft() + $window.width() - this.$control.width() - this.controlattrs.offsetx
var controly=$window.scrollTop() + $window.height() - this.$control.height() - this.controlattrs.offsety
this.$control.css({left:controlx+'px', top:controly+'px'};)
},

togglecontrol:function(){
var scrolltop=jQuery(window).scrollTop()
if (!this.cssfixedsupport)
this.keepfixed()
this.state.shouldvisible=(scrolltop>=this.setting.startline)? true : false
if (this.state.shouldvisible && !this.state.isvisible){
this.$control.stop().animate({opacity:1}, this.setting.fadeduration[0])
this.state.isvisible=true
}
else if (this.state.shouldvisible==false && this.state.isvisible){
this.$control.stop().animate({opacity:0}, this.setting.fadeduration[1])
this.state.isvisible=false
}
},

init:function(){
jQuery(document).ready(function($){
var mainobj=scrolltotop
var iebrws=document.all
mainobj.cssfixedsupport=!iebrws || iebrws && document.compatMode=="CSS1Compat" && window.XMLHttpRequest //not IE or IE7+ browsers in standards mode
mainobj.$body=(window.opera)? (document.compatMode=="CSS1Compat"? $('html') : $('body')) : $('html,body')
mainobj.$control=$('<div id="topcontrol">'+mainobj.controlHTML+'</div>')
.css({position:mainobj.cssfixedsupport? 'fixed' : 'absolute', bottom:mainobj.controlattrs.offsety, right:mainobj.controlattrs.offsetx, opacity:0, cursor:'pointer'};)
.attr({title:'Вверх'};)
.click(function(){mainobj.scrollup(); return false};)
.appendTo('body')
if (document.all && !window.XMLHttpRequest && mainobj.$control.text()!='') //loose check for IE6 and below, plus whether control contains any text
mainobj.$control.css({width:mainobj.$control.width()};) //IE6- seems to require an explicit width on a DIV containing text
mainobj.togglecontrol()
$('a[href="' + mainobj.anchorkeyword +'"]').click(function(){
mainobj.scrollup()
return false
};)
$(window).bind('scroll resize', function(e){
mainobj.togglecontrol()
};)
};)
}
}

scrolltotop.init()
$Vladimir$
Сообщений: 7465
Репутация: 1053

Сообщение # 350 | 13:44:53
logoped3155, вот ссылка на ваш код http://logopeddoma.ru/moja_vverkh.js там нет изменений
logoped3155
Сообщений: 13
Репутация: 0

Сообщение # 351 | 16:32:48
Цитата $Vladimir$ ()
вот ссылка на ваш код http://logopeddoma.ru/moja_vverkh.js там нет изменений
Вот этот скрипт. Я его ставила на сайт, потом убрала, из-за того что при наведении ?????. Посмотрите на сайте сейчас "Логопед дома". Дело в том, что изначально скрипт так и был написан, кроме ссылки на сторонний сайт (только её я убрала), и отображалось при наведении Вверх. Почему сейчас отображается UP , не пойму.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 352 | 17:27:20
logoped3155, скачайте ещё раз исходный скрипт оригинал, исправьте его (замена картинки) и сохраните в кодировке utf-8
вы неправильно сохранили скрипт, поэтому вместо слова вверх вы видите вопросы

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
$Vladimir$
Сообщений: 7465
Репутация: 1053

Сообщение # 353 | 17:30:20
logoped3155, это проблема кодировки.


Кодировать нужно в UTF-8
logoped3155
Сообщений: 13
Репутация: 0

Сообщение # 354 | 19:03:59
Спасибо Вам большое за внимание и помощь, всё получилось! smile
stolyar9692
Сообщений: 15
Репутация: 0

Сообщение # 355 | 12:46:51
Здравствуйте! Я приобрел шаблон на одном из сайтов, установил его по прилагающей инструкции на свой сайт kinopoisk-online.net, но меня смущает часть кода "script type="text/javascript" src="/js/libs.js"&gt;&lt;/script" в дизайне сайта, он подгружается скриптом: http://kinopoisk-online.net/libs.js
Сейчас я убрал этот код из дизайна шаблона и поменял путь хранения скрипта, ничего вроде из шаблона не пропало. Но все таки переживаю не является ли этот скрипт необходимым для полной функциональности шаблона?

Добавлено (14 Апр 2015, 12:46:51)
---------------------------------------------
Проблема решена, раскрыл скрипт - там ничего связанного с дизайном, лишь подгрузка чужого сайта

DIV4087
Сообщений: 10
Репутация: 0

Сообщение # 356 | 00:09:51
Поставил на сайт скрипт для информера. Помогите проверить, нет ли там чего лишнего. Интересует WAP слив (мобильній редирект). Буду очень признателен.
http://onlinemultik.net/slajder/jquery.easing.1.3.js
http://onlinemultik.net/slajder/jquery.elastislide.js

Добавлено (04 Апр 2016, 00:09:51)
---------------------------------------------
Могут ли скрипты кнопок поделиться в соцсетях нести угрозу мобильного перенаправления (WAP слив)?

Заранее спасибо.
Прикрепления: 0491866.jpg (16.3 Kb)
Сообщение отредактировал DIV4087 - Понедельник, 04 Апр 2016, 00:15:03
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 357 | 17:02:03
DIV4087, оба чистые. и если залиты на ваш сайт, то хорошо
Цитата
Могут ли скрипты кнопок поделиться в соцсетях нести угрозу мобильного перенаправления (WAP слив)?
да могут и таких случаев было много. пользуйтесь официальными кнопками от uCoz https://usocial.pro/ там точно ничего лишнего нет и не будет

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
DIV4087
Сообщений: 10
Репутация: 0

Сообщение # 358 | 17:19:45
Цитата webanet ()
оба чистые. и если залиты на ваш сайт, то хорошо
Спасибо. А помогите решить еще одну проблему. Случайно обнаружил на своем сайте ( тематика мультфильмы онлайн) скрипт http://js.advideo.ru/aro.js. Покопался и выяснил, что юкоз предоставляет автоматически замену нелегального контента с помощью advideo.ru, чтобы не было абуз.
Вопрос первый. Нету ли вап слива на мобильный редирект от их рекламы, потому что я попал именно за это под фильтр яндекса, а причины толком не знаю.
Вопрос второй. Могу ли я запретить замену моих плееров. Скажем, я решил сотрудничать с этой пртнеркой, которая (это еще под сомнением) предоставляет замену на легальный контент, с целью заработка. А то получается такая картина. Сосдал сайт, а плоды работы получают другие. Сргласитесь, это несправедливо. Тем более при оплате базового пакета четко написано - никакой рекламы, где бы она не появлялась (даже в плеере.) Понимаете суть моего вопроса? Прошу разъяснить мне этот момент.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 359 | 17:27:01
DIV4087,
Цитата
Нету ли вап слива на мобильный редирект от их рекламы, потому что я попал именно за это под фильтр яндекса, а причины толком не знаю.
у этих точно нету advideo.ru а вот в ваших плеерах может быть. многие плееры с рекламой выдают кликандеры и конечно же вап слив
если станете партнером advideo.ru и установите их код, то попробуйте обратиться в тех.поддержку

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
DIV4087
Сообщений: 10
Репутация: 0

Сообщение # 360 | 17:32:24
Цитата webanet ()
у этих точно нету advideo.ru а вот в ваших плеерах может быть. многие плееры с рекламой выдают кликандеры и конечно же вап слив
Подскажите, а при подмене их плееров мои полностью пропадают или стоят ниже?
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Если вы решили добавить к себе на сайт скрипт (скрипты для uCoz)
Поиск: