Google+ Button mit extra Klick verstecken

[Ceos]

Mich nervt in letzter Zeit bei fast allen Themen die ich so anklicke eine dicke Einblendung von No-Script dass eine potentielle CSS-Attacke geblockt worden ist.
Der Konsole zufolge handelt es sich dabei um eine Funktion von der Google API die mit dem G+ Button zu tun hat

https://www.roboternetz.de/community...9-bitSet%28%29
ist so ein Thema, whingegen folgendes Thema diese Warnung nicht produziert
https://www.roboternetz.de/community...lem-beim-Build

Einzig nach Zulassung der Nachladens tauchte der G+ Button in dem o.G. Topic auf, sonst deute ncihts darauf hin!

Falls es hilft, viele Seiten haben diese diversen Like Buttons einfach hinter einem kleinen Script versteckt, der zwar den Status über Seiteneigene Stilmittel darstellt, aber um den Button nutzen zu können muss man ihn 2 mal anklicken, einal zum FReishcalten und nachladen der Cookies und dann erst funktioniert er.

[Frank]

Welches Programm zeigt dir CSS Attacke an?
Habe Script mal etwas geändert, ein Unterschied?

[Ceos]

es ist das no-script plugin von firefox
http://puu.sh/rHPhi/422fc4dc9f.png
hat leider nichts geholfen, es ist auch nur bei bestimmten artikeln, ich konnte es bisher auch nicht auf bestimmte user einschränken nur artikel

ahaaa jetzt habe ich den script auch mal angezeigt bekommen

Code:

GET [https://apis.google.com/u/0/se/0/_/+1/fastbutton?usegapi=1&width=120&annotation=inline&hl=de&origin=http%3A%2F%2Fwww.roboternetz.de&url=http%3A%2F%2Fwww.roboternetz.de%2Fcommunity%2Fthreads%2F69761-Bedeutung-bit%2528%2529-bitSet%2528%2529&gsrc=3p&ic=1&jsh=m%3B%2F_%2Fscs%2Fapps-static%2F_%2Fjs%2Fk%3Doz.gapi.en.w------onc.O%2Fm%3D__features__%2Fam%3D--%2Frt%3Dj%2Fd%3D1%2Frs%3DAG--------M-mf-------p_SM5Qg#_methods=onPlusOne%2C_ready%2C_close%2C_open%2C_resizeMe%2C_renderstart%2Concircled%2Cdrefresh%2Cerefresh%2Conload&id=I0_14-------50&parent=http%3A%2F%2Fwww.roboternetz.de&pfname=&rpctoken=356-----7]

von [https://www.roboternetz.de/community/threads/69761-Bedeutung-bit%28%29-bitSet%28%29]

ich habe einge der tokens mal maskiert


siehe da!
https://www.roboternetz.de/community...095#post632095

es scheint wohl irgendwas bei sonderzeichen im titel schief zu laufen!

[Ceos]

@Frank hast du gesehen was ich noch ergänzend geschrieben habe? es hat wohl was mit Sonderzeichen im Titel zu tun

[Frank]

Momentan kann ich leider nicht klären warum dein Tool da eine Warnung ausgibt, der Code stammt von Google selbst und wird so oft eingesetzt! Da es aber im Browser ansonsten keinen Probeme verursacht, sehe ich keinen dringenden Handlungsbedarf. Ich behalte es dennoch im Gedächnis!

[Ceos]

ich habs gefunden, das problem ist dass der URL string doppelt encoded wird und der url link damit verfälscht wird, no-script sieht das als einen defekten/manipulierten link an

Code:

&url=http%3A%2F%2Fwww.roboternetz.de%2Fcommunity%2Fthreads%2F69761-Bedeutung-bit%2528%2529-bitSet%2528%2529

%2528 (url decode) -> &28 (url decode) -> "("

Bei der Umwandlung des Links wird scheinbar einmal encodiert und bei der Umwandlung des Buttons wird scheinbar ungefiltert ein2tes mal encodiert

[Frank]

Das solltest du vielleicht mal Google mitteilen, das Script stammt vom dortigen Server:
https://developers.google.com/+/web/+1button/

[Ceos]

ich kenne leider deinen konkreten script nicht wie du die href übergibst, aber die webseite spricht von "canonical url" und soweit ich das verstanden habe müsstest du also deine adresse, die mit UTF encoding gespickt ist, erst decoden und dann übergeben, in der übergebenen href darf also kein %-irgendwas auftauchen weil es sonst doppelt encoded wird ...

Ich würde auf der Seite ja ein Issue verfassen aber ich hab keinen Plan zu welcher Kategorie der +Button gehört und ohne KAtegorie kann man da kein Issue machen

by the way ich versuche auch gerade an den no-script macher einen bug report abzusetzen