Как использовать gist markdown embed Google-CSE? - PullRequest
Новая
       35

Как использовать gist markdown embed Google-CSE?

0 голосов
/ 30 марта 2019

Я хочу встроить Google-CSE в основную уценку, а затем внедрить это в Medium.

Конечная цель: показать панель поиска в Medium

Trial:

1.Не вставлять Google-CSE непосредственно в среду.

https://i.imgur.com/DPGiV6X.jpg

2. Использовать уценку для вставки в сущность (все не удалось)

2-1. <iframe></iframe>

2-2. <object></object>

2-3. <script></script>

<script>
  (function() {
    var cx = '015605450483368086706:7jlic1sqlvi';
    var gcse = document.createElement('script');
    gcse.type = 'text/javascript';
    gcse.async = true;
    gcse.src = 'https://cse.google.com/cse.js?cx=' + cx;
    var s = document.getElementsByTagName('script')[0];
    s.parentNode.insertBefore(gcse, s);
  })();
</script>
<gcse:search></gcse:search>

2-4. <embed src="https://cse.google.com/cse?cx=018064005093677680301:cmhz2glhxjy" width=200 height=200 />

Спасибо за любые предложения.

1 Ответ

0 голосов
/ 01 апреля 2019

Вы не можете встраивать что-либо на любые страницы GitHub.com, включая gists.

GitHub документирует весь процесс обработки разметки в github / markup .Здесь уместен шаг 2:

HTML очищается, агрессивно удаляя вещи, которые могут навредить вам и вашим родственникам, такие как script теги, встроенные стили и class или id атрибуты.

Дезинфицирующее средство удалит любые элементы, необходимые для встраивания чего-либо на страницу. предыдущая версия этого документа указывала на действительный санитарный фильтр , который запрещает использование тегов script, iframe, object и embed, среди прочих (техническиФильтр запрещает все, что не входит в белый список , а все эти теги отсутствуют в белом списке).Фильтр удаляет все запрещенные теги и / или атрибуты и их содержимое из документа.Поскольку обновление , которое удалило ссылку на фильтр, не дает объяснения, мы не можем быть уверены, что GitHub все еще использует тот же фильтр, но разумно ожидать, что если они изменят фильтры, новый фильтр будет иметьочень похожее поведение.

Если вам интересно, почему GitHub считает необходимым запретить такие вещи, тогда я предлагаю вам узнать об опасностях межсайтового скриптинга (XSS).Без сомнения, есть и другие возможные атаки, которые также предотвращают это, но XSS, безусловно, достаточно серьезен сам по себе, чтобы оправдать запрещение любых сторонних скриптов любого типа.

...