[GDRCD 5.4] Scheda utente in iframe di un indirizzo esterno

[GDRCD 5.4] Scheda utente in iframe di un indirizzo esterno postato il 16/01/2021 12:48:03 nel forum programmazione, open source e hosting

Buongiorno a tutti, premetto che non so se io abbia o meno titolato correttamente questo topic, ma credo che già da questa perplessità si capisca la mia conoscenza (meno che) basica di linguaggi di programmazione...

Un po' a tentoni e leggendo tante guide, mi sto raccapezzando riguardo tutte le modifiche che sto cercando di implementare all'interno della land, ma nello specifico, una cosa che cercando in forum non ho proprio trovato (e forse sto sbagliando qualcosa io) è questo caso specifico.

Mi spiego meglio:

Leggiucchiando un po' qua e là nei topic già aperti, ho letto in tanti sconsigliare la possibilità di modifica in .css e .html da parte dell'utente della sezione "background" e "affetti" del personaggio, perché questo permetterebbe anche ai malintenzionati di utilizzare script malevoli e metterebbe a rischio tanto la land, quanto la sua stessa utenza.

In primis, vorrei chiedere se sia effettivamente questo il caso; vedendo molte land scegliere di rendere questa modifica possibile, il dubbio sorge spontaneo, o ancora meglio, mi domando genuinamente se sia una leggerezza fatta inconsapevolmente da alcuni gestori, o se ci sia un modo per arginare questa tipologia di problema...

Arrivando al sodo, però, ricordo alcune land frequentate negli anni passati, che - non partendo da GDRCD, ma molto probabilmente usando un codice proprietario (ai tempi non ne sapevo abbastanza per comprendere la differenza) - permettevano di visualizzare in un iframe (penso si chiami così) la sezione affetti del personaggio, caricata automaticamente dall'utente su di un dominio esterno di loro possesso.

(Credo che una delle land fosse Saint Seiya Forgotten Realms, se qualcuno ricorda, ma potrei sbagliarmi...)

Nello specifico, la sezione "modifica background" aveva una casella dedicata all'url da inserire, di modo da visualizzare automaticamente il lavoro dell'utente nella sezione apposita della scheda.

Volevo chiedere innanzitutto, se questa soluzione fosse sicura o altamente sconsigliabile per problemi analoghi a quelli indicati sopra, e nell'attuazione, come potrebbe essere implementata a livello di codice.

Se avete letture/tutorial/guide da consigliarmi per studiare questo tipo di implementazioni, sono assolutamente ben accette!

16/01/2021 15:57:15

Premesso che secondo me l'HTML libero nelle schede è sopravvalutato, quello che probabilmente potrei usare per stare tranquillo con degli <iframe> caricati da non si sa dove è l'attributo sandbox, che impedisce a monte alla pagina caricata di eseguire script o fare altri disastri.

Metto direttamente il link alla guida del w3c (le leggiamo tutti le specifiche del w3c, vero? vero?):

https://www.w3schools.com/tags/att_iframe_sandbox.asp ↗

16/01/2021 17:54:04 e modificato da chykopon il 16/01/2021 17:54:36

quod ha scritto: Premesso che secondo me l'HTML libero nelle schede è sopravvalutato, quello che probabilmente potrei usare per stare tranquillo con degli <iframe> caricati da non si sa dove è l'attributo sandbox, che impedisce a monte alla pagina caricata di eseguire script o fare altri disastri.

Metto direttamente il link alla guida del w3c (le leggiamo tutti le specifiche del w3c, vero? vero?):

https://www.w3schools.com/tags/att_iframe_sandbox.asp ↗

So che sembra assurdo, visto che il topic l'ho aperto io, ma sul fatto che l'html libero sia sopravvalutato, mi trovi assolutamente d'accordo; sono il primo a cui nelle land in cui gioco, piace "pasticciare" con grafica e codici nei limiti in cui mi è permesso... ma per assurdo, sono un grande fan della classica scheda descrittiva con giusto qualche immagine qua e là.

Vedo, comunque, che la possibilità di personalizzazione """estrema""" sembra andare per la maggiore, quindi dove possibile, se c'è una maniera sicura di implementare questa cosa e rendere l'utente soddisfatto, penso che comunque giovi nel complesso all'economia dell'utenza.

ENIUEI, ti ringrazio per la dritta, mi leggo per bene l'articolo che mi hai linkato!

Per quanto concerne le specifiche sul W3C, io ho fatto sempre riferimento a questa pagina https://www.w3.org/standards/webdesign/ ↗, ma in realtà ho sempre consultato la sola sezione inerente l'accessibilità per implementare piccoli accorgimenti che rendessero la land fruibile a tutti i tipi di utenti (dove possibile), hai altre sezioni da indicarmi che secondo te dovrei consultare e di cui tenere conto?

17/01/2021 11:30:17 e modificato da quod il 17/01/2021 11:30:39

A voler proprio leggere le specifiche HTML5 dalla fonte, ci sarebbe da andare qui:

https://html.spec.whatwg.org/multipage/ ↗

Ammetto che quel documento non l'ho mai realmente letto a fondo, in genere leggo le specifiche dei singoli tag su w3schools.com, e per il php guardo direttamente il manuale su php.net (Javascript invece cerco di non usarlo proprio, ormai i CSS sono abbastanza evoluti da poterlo sostituire quasi del tutto).

17/01/2021 15:09:28

quod ha scritto: A voler proprio leggere le specifiche HTML5 dalla fonte, ci sarebbe da andare qui:

https://html.spec.whatwg.org/multipage/ ↗

Ammetto che quel documento non l'ho mai realmente letto a fondo, in genere leggo le specifiche dei singoli tag su w3schools.com, e per il php guardo direttamente il manuale su php.net (Javascript invece cerco di non usarlo proprio, ormai i CSS sono abbastanza evoluti da poterlo sostituire quasi del tutto).

Grazie mille, Quod!
Darò un'occhiata sia all'indirizzo che mi hai linkato, sia terrò conto delle indicazioni che mi hai fornito! 😡

Grazie ancora, sei stato gentilissimo!

18/01/2021 12:23:31

Concordo con quod. Se devi utilizzare un iframe ti consiglio anche io di utilizzare il nuovo tag "sandbox" che limita gli script presenti nell'iframe per questioni di sicurezza.

Ad esempio:

<iframe src="https://sitodelgicoatore.altervista.org/affetti_giovannino.html" sandbox></iframe>

Aggiungo anche che sarebbe opportuno costringere via script ad utilizzare URL con protocollo HTTPS.

18/01/2021 20:24:25

gdr-online.com ha scritto: Concordo con quod. Se devi utilizzare un iframe ti consiglio anche io di utilizzare il nuovo tag "sandbox" che limita gli script presenti nell'iframe per questioni di sicurezza.

Ad esempio:

<iframe src="https://sitodelgicoatore.altervista.org/affetti_giovannino.html" sandbox></iframe>

Aggiungo anche che sarebbe opportuno costringere via script ad utilizzare URL con protocollo HTTPS.

Grazie del suggerimento!
In realtà, a quello avevo già pensato, poiché ricordo distintamente che in quelle land che erano riuscite ad implementare questa funzionalità, presentavano anche l'avviso per cui sarebbero state riprodotte solo le schede provenienti da https!
...ora, il più, è capire come farlo ;)