Мета-тег с указанием кодировки, всегда должен быть самым первым тегом в head, для того чтобы предотвратить некую encoding-based уязвимость. Комментарий в функции drupal_final_markup:
Make sure that the charset is always specified as the first element of the head region to prevent encoding-based attacks.
А поскольку порядок и наличие заголовков ложится на плечи разработчика темы (шаблона), то нет 100% уверенности в правильности его действий.
Любителям валидного кода, можно в template.php добавить функцию предварительной обработки страницы, которая удалит лишний мета-тег:
function phptemplate_preprocess_page(&$vars) {
$vars['head'] = preg_replace('/<meta http-equiv=\"Content-Type\"[^>]*>/', '', $vars['head']);
}Написанное актуально для
Drupal 6
Похожие записи
- Вставка в CKEditor видео из ВКонтакте и Rutube (расширение модуля CKEditor 5 Media Embed)
- Как из PhpStorm выполнить тест(ы)
- Как работает опция "Aggregation type" в настройках полей Views при включённой агрегации
- Создание сравнительной таблицы с значениями из EAV Field
- Препроцессинг настроек форматтера перед сохранением
Комментарии
Это правильно не только из-за атаки, а просто из-за того, что если вставить раньше script тэг, а потом определение кодировки, то ie начхает на явно переданную таким образом кодировку, так как раньше сам решит для себя автоматом какая кодировка, проанализировав текст скрипта фактически и вместо русских букв на своей странице вы увидите аброкадабру. Так как по коду скрипта решит, что у вас к примеру обычный ANSI. Но тут все зависит от сложности и размера скриптовой вставки в head, вместо скрипта можно и style вставить и получить теже самые грабли, если кодировка определена позднее.
Вообще-то 2 раза по
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />не делают код не валидным! ;)
я точно помню, что валидатор ругался на дубль, сейчас уже почему то нет о_О иначе я бы и не стал возиться с поиском ответа =)
Добавить комментарий