CrazyPython
diff --git a/‎2-ui/3-event-details/3-mousemove-mouseover-mouseout-mouseenter-mouseleave/2-hoverintent/task.md‎
Lines changed: 3 additions & 9 deletions b/‎2-ui/3-event-details/3-mousemove-mouseover-mouseout-mouseenter-mouseleave/2-hoverintent/task.md‎
Lines changed: 3 additions & 9 deletions
diff --git a/‎…mes-and-windows/1-window-open/article.md‎ ‎…mes-and-windows/1-window-open/article.md‎3-more/7-frames-and-windows/1-window-open/article.md renamed to 3-more/5-frames-and-windows/1-window-open/article.md
Lines changed: 108 additions & 72 deletions b/‎…mes-and-windows/1-window-open/article.md‎ ‎…mes-and-windows/1-window-open/article.md‎3-more/7-frames-and-windows/1-window-open/article.md renamed to 3-more/5-frames-and-windows/1-window-open/article.md
Lines changed: 108 additions & 72 deletions
diff --git a/‎3-more/5-frames-and-windows/2-iframes/article.md‎
Lines changed: 160 additions & 0 deletions b/‎3-more/5-frames-and-windows/2-iframes/article.md‎
Lines changed: 160 additions & 0 deletions
diff --git a/‎3-more/5-frames-and-windows/2-iframes/sandbox.view/index.html‎
Lines changed: 11 additions & 0 deletions b/‎3-more/5-frames-and-windows/2-iframes/sandbox.view/index.html‎
Lines changed: 11 additions & 0 deletions
diff --git a/‎3-more/5-frames-and-windows/2-iframes/sandbox.view/sandboxed.html‎
Lines changed: 18 additions & 0 deletions b/‎3-more/5-frames-and-windows/2-iframes/sandbox.view/sandboxed.html‎
Lines changed: 18 additions & 0 deletions
diff --git a/‎3-more/5-frames-and-windows/3-same-origin-policy/article.md‎
Lines changed: 137 additions & 0 deletions b/‎3-more/5-frames-and-windows/3-same-origin-policy/article.md‎
Lines changed: 137 additions & 0 deletions
@@ -4,13 +4,11 @@
 
 Нужно написать функцию, которая показывает подсказку при *наведении* на элемент, но не при *быстром проходе* над ним.
 
-То есть, если посетитель именно навёл курсор мыши на элемент и почти остановился -- подсказку показать, а если быстро провёл над ним, то не надо (зачем излишнее мигание?).
+То есть, если посетитель именно навёл курсор мыши на элемент и почти остановился -- подсказку показать, а если быстро провёл над ним, то не надо, зачем излишнее мигание?
 
 Технически -- можно измерять скорость движения мыши над элементом, если она маленькая, то считаем, что это "наведение на элемент" (показать подсказку), если большая -- "быстрый проход мимо элемента" (не показывать).
 
-Задача -- сделать универсальный код, который отслеживает "наведение на элемент".
-
-Пусть это будет объект `new HoverIntent(options)`, который при создании принимает `options`:
+Реализуйте это через универсальный объект `new HoverIntent(options)`, с параметрами `options`:
 <ul>
 <li>`elem` -- элемент, наведение на который нужно отслеживать.</li>
 <li>`over` -- функция-обработчик наведения на элемент.</li>
@@ -19,10 +17,6 @@
 
 Пример использования такого объекта для подсказки:
 ```js
-function HoverIntent(options) { 
-  //... ваш код ...
-}
-
 // образец подсказки
 var tooltip = document.createElement('div');
 tooltip.className = "tooltip";
@@ -48,6 +42,6 @@ new HoverIntent({
 
 Если провести мышкой над "часиками" быстро, то ничего не будет, а если медленно или остановиться на них, то появится подсказка.
 
-Обратите внимание -- подсказка не "мигает"" при проходе мыши внутри "часиков", по подэлементам.
+Обратите внимание -- подсказка не "мигает" при проходе мыши внутри "часиков", по подэлементам.
 
 
@@ -0,0 +1,160 @@
+# Окно внутри ифрейма
+
+Элемент `iframe` является обычным узлом DOM, как и любой другой. Существенное отличие -- в том, что с ним связан объект `window` внутреннего окна. Он доступен по ссылке `iframe.contentWindow`.
+
+[cut]
+
+Таким образом, `iframe.contentWindow.document` будет внутренним документом, `iframe.contentWindow.document.body` -- его `<body>` и так далее.
+
+[smart header="Когда-то..."]
+В старых браузерах использовались другие свойства, такие как `iframe.contentDocument` и даже `iframe.document`, но они давно не нужны.
+[/smart]
+
+## Переход внутрь ифрейма
+
+В примере ниже JavaScript получает документ внутри ифрейма и модифицирует его:
+
+```html
+<!--+ run height=100 -->
+<iframe src="javascript:'тест'" style="height:60px"></iframe>
+
+<script>
+  var iframe = document.getElementsByTagName('iframe')[0];
+*!*
+  var iframeDoc = iframe.contentWindow.document;
+*/!*
+  iframeDoc.body.style.backgroundColor = 'green';
+</script>
+```
+
+[smart header="src='javascript:...'"]
+Атрибут `src` может использовать протокол `javascript:...`. При этом код выполняется и его результат будет содержимым ифрейма. Этот способ описан в стандарте и поддерживается всеми браузерами.
+
+Атрибут `src` является обязательным, и его отсутствие может привести к проблемам, вплоть до игнорирования ифрейма браузером. 
+
+Чтобы ничего не загружать в ифрейм, можно указать `src="javascript:''"`.
+[/smart]
+
+## Кросс-доменность: ограничение доступа к окну
+
+Элемент `<iframe>` является "двуличным". С одной стороны, это обычный узел DOM, с другой -- внутри находится окно, которое может иметь совершенно другой URL, содержать независимый документ из другого источника.
+
+Внешний документ имеет полный доступ к `<iframe>` как к DOM-узлу. А вот к окну -- если они с одного источника.
+
+Это приводит к забавным последствиям. Например, мы можем повесить обработчик `iframe.onload`, чтобы узнать о загрузке `<iframe>`, а вот на `iframe.contentWindow.onload` -- лишь в случае, если окно с того же источника.
+
+```html
+<!--+ run height=120 -->
+<iframe src="http://example.com" style="height:100px"></iframe>
+
+<script>
+  var iframe = document.getElementsByTagName('iframe')[0];
+
+  // сработает
+  iframe.onload = function() { alert("iframe onload"); }
+
+  // не сработает
+  iframe.contentWindow.onload = function() { alert("contentWindow onload"); }
+</script>
+```
+
+Если бы в примере выше `<iframe src>` был с текущего сайта, то оба обработчика сработали бы.
+
+## Иерархия window.frames   
+
+Альтернативный способ доступа к окну ифрейма -- это получить его из коллекции `window.frames`.
+
+Есть два способа доступа:
+<ol>
+<li>`window.frames[0]` -- доступ по номеру.</li>
+<li>`window.frames.iframeName` -- доступ по `name` ифрейма.</li>
+</ol>
+
+Обратим внимание: в коллекции хранится именно окно (`contentWindow`), а не DOM-элемент.
+
+Демонстрация всех способов доступа к окну:
+
+```html
+<!--+ run -->
+<iframe src="javascript:''" style="height:80px" name="i"></iframe>
+
+<script>  
+  var iframeTag = document.body.children[0];
+
+  var iframeWindow = iframe.contentWindow; // окно из тега
+
+  alert(frames[0] === iframeWindow); // true, окно из коллекции frames
+  alert(frames.i == iframeWindow); // true, окно из frames по имени
+</script>
+```
+
+Внутри ифрейма могут быть свои вложенные ифреймы. Всё это вместе образует иерархию.
+
+Ссылки для навигации по ней:
+
+<ul>
+<li>`window.frames` -- коллекция "детей" (вложенных ифреймов)</li>
+<li>`window.parent` -- содержит ссылку на родительское окно, позволяет обратиться к нему из ифрейма.
+
+Всегда верно:
+
+```js
+// (из окна со фреймом)
+window.frames[0].parent === window; // true
+```
+
+</li>
+<li>`window.top` -- содержит ссылку на самое верхнее окно (вершину иерархии).
+
+Всегда верно (в предположении, что вложенные фреймы существуют):
+
+```js
+window.frames[0].frames[0].frames[0].top === window
+```
+
+</li>
+</ul>
+
+**Свойство `top` позволяет легко проверить, во фрейме ли находится текущий документ:**
+
+```js
+//+ run
+if (window == top) {
+  alert('Этот скрипт является окном верхнего уровня в браузере');
+} else {
+  alert('Этот скрипт исполняется во фрейме!');
+}
+```
+
+## Песочница sandbox
+
+Атрибут `sandbox` позволяет построить "песочницу" вокруг ифрейма, запретив ему выполнять ряд действий.
+
+Наличие атрибута `sandbox`:
+<ul>
+<li>Заставляет браузер считать ифрейм загруженным с другого источника, так что он и внешнее окно больше не могут обращаться к переменным друг друга.</li>
+<li>Отключает формы и скрипты в ифрейме.</li>
+<li>Запрещает менять `parent.location` из ифрейма.</li>
+</ul>
+
+Пример ниже загружает в `<iframe sandbox>` документ с JavaScript и формой. Ни то ни другое не сработает:
+
+[codetabs src="sandbox"]
+
+Если у атрибута `sandbox` нет значения, то браузер применяет максимум ограничений.
+
+Атрибут `sandbox` может содержать через пробел список ограничений, которые не нужны:
+<dl>
+<dt>allow-same-origin</dt>
+<dd>Браузер может не считать документ в ифрейме пришедшим с другого же домена. Если ифрейм *и так* с другого домена, то ничего не меняется.</dd>
+<dt>allow-top-navigation</dt>
+<dd>Разрешает ифрейму менять `parent.location`.</dd>
+<dt>allow-forms</dt>
+<dd>Разрешает отправлять формы из `iframe`.</dd>
+<dt>allow-scripts</dt>
+<dd>Разрешает выполнение скриптов из ифрейма. Но скриптам, всё же, будет запрещено открывать попапы.</dd>
+</dl>
+
+[smart]
+Цель атрибута `sandbox` -- наложить дополнительные ограничения. Он не может снять уже существующие, в частности, убрать ограничения безопасности, если ифрейм с другого источника. 
+[/smart]
@@ -0,0 +1,11 @@
+<!doctype html>
+<html>
+<head>
+  <meta charset="UTF-8">
+</head>
+<body>
+
+  <iframe sandbox src="sandboxed.html"></iframe>
+  
+</body>
+</html>
@@ -0,0 +1,18 @@
+<!doctype html>
+<html>
+<head>
+  <meta charset="UTF-8">
+</head>
+<body>
+
+  <script>
+    alert(1);
+  </script>
+
+  <form action="http://google.ru">
+    <input type="text">
+    <input type="submit" value="Отправить форму на http://google.ru">
+  </form>
+  
+</body>
+</html>
@@ -0,0 +1,137 @@
+# Кросс-доменные ограничения и их обход
+
+Ограничение "Same Origin" ("тот же источник") ограничивает доступ окон и фреймов друг к другу, а также влияет на AJAX-запросы к серверу.
+
+Причина, по которой оно существует -- безопасность. Если есть два окна, в одном из которых `vasya-pupkin.com`, а в другом `gmail.com`, то мы бы не хотели, чтобы скрипт из первого мог читать нашу почту.
+
+Сама концепция проста, но есть много важных исключений и особенностей, которые нужно знать для полного понимания этого правила.
+[cut]
+
+## Концепция Same Origin [#same-origin]
+
+Два URL считаются имеющим один источник ("same origin"), если у них одинаковый протокол, домен и порт.
+
+Эти URL имеют один источник:
+<ul>
+<li>`http://site.com`</li>
+<li>`http://site.com`/</li>
+<li>`http://site.com/my/page.html`</li>
+</ul>
+
+А вот эти -- все из других источников:
+<ul>
+<li>http://<span style="color:red;font-weight:bold">www.</span>site.com (другой домен)</li>
+<li>http://site.<span style="color:red;font-weight:bold">org</span>  (другой домен)</li>
+<li>http<span style="color:red; font-weight:bold">s</span>://site.com  (другой протокол)</li>
+<li>http://site.com<span style="color:red; font-weight:bold">:8080</span>  (другой порт)</li>
+</ul>
+
+Существует ряд исключений, позволяющих-таки окнам с разных доменов обмениваться информацией, но прямой вызов методов друг друга и чтение свойств запрещены.
+
+## В действии
+
+Если одно окно попытается обратиться к другому, то браузер проверит, из одного ли они источника. Если нет -- доступ будет запрещён.
+
+Например:
+
+```html
+<!--+ run -->
+<iframe src="http://example.com"></iframe>
+
+<script>
+  var iframe = document.body.children[0];
+  
+  iframe.onload = function() {
+    try {
+      alert(iframe.contentWindow.document);
+    } catch(e) {
+      alert("Ошибка: " + e.message);
+    }
+  }
+
+</script>
+```
+
+Пример выше выведет ошибку.
+
+## Исключение: запись в location
+
+Окна могут менять `location` друг друга, даже если они из разных источников.
+
+Причём *читать* свойства `location` нельзя, одно окно не имеет право знать, на каком URL пользователь в другом. А вот *запись* браузеры считают безопасной.
+
+Например, открыв на `javascript.ru` iframe с `http://example.com`, из этого ифрейма нельзя будет прочитать URL, а вот поменять его -- запросто:
+
+```html
+<!--+ run -->
+<iframe src="http://example.com"></iframe>
+
+<script>
+  var iframe = document.body.children[0];
+  
+  iframe.onload = function() {
+    try {
+      // не сработает (чтение)
+      alert(iframe.contentWindow.location.href);
+    } catch(e) {
+      alert("Ошибка: " + e.message);
+    }
+
+    // сработает (запись)
+    iframe.contentWindow.location.href = 'http://wikipedia.org';
+
+    iframe.onload = null; 
+  }
+
+</script>
+```
+
+Если запустить код выше, то окно сначала начнёт  загрузит `example.com`, а потом будет перенаправлено на `wikipedia.org`. 
+
+## Исключение: поддомен 3го уровня
+
+Ещё одно важное исключение касается доменов третьего уровня.
+
+Если несколько окон имеют общий домен второго уровня, к примеру `john.site.com`, `peter.site.com`, `site.com`, и присваивают в `document.domain` свой общий поддомен 2го уровня `site.com`, то все ограничения снимаются.
+
+То есть, на всех этих сайтах должен быть код:
+```js
+document.domain = 'site.com';
+```
+
+Тогда между ними не будет кросс-доменных ограничений.
+
+Обратим внимание: свойство `document.domain` должно быть присвоено на всех окнах, участвующих в коммуникации. Выглядит абсурдно, но даже на документе с `site.com` нужно вызвать: `document.domain="site.com"`. Иначе не  будет работать.
+
+Таким образом разные подсайты в рамках одного общего проекта могут взаимодействовать без ограничений.
+
+## Исключения в IE
+
+В браузере Internet Explorer есть два своих, дополнительных исключения из Same Origin Policy.
+
+<ol>
+<li>Порт не входит в понятие "источник" (origin).
+
+Это означает, что окно с `http://site.com` может свободно общаться с `http://site.com:8080`. 
+
+Это иногда используют для общения серверов, использующих один IP-адрес. Но допустимо такое только в IE.</li>
+<li>Если сайт находится в зоне "Надёжные узлы", то в Internet Explorer ограничения к нему не применяются.
+
+При этом подразумевается, что для этой зоны в параметрах "Безопасность" включена опция "Доступ к источникам данных за пределами домена".</li>
+</ol>
+
+## Итого
+
+Ограничение "одного источника" запрещает окнам и фреймам с разных источников вызывать методы друг друга и читать данные друг из друга.
+
+При этом "из одного источника" означает "совпадают протокол, домен и порт".
+
+У этого подхода ряд существенных исключений:
+
+<ul>
+<li>Свойства `window.location.*` нельзя читать, но можно менять.</li>
+<li>Домены третьего уровня с общим наддоменом могут поменять `document.domain` на их общий домен второго уровня, и тогда они смогут взаимодействовать без ограничений.
+</li>
+<li>IE не включает порт в понятие источника. Кроме того, он позволяет снять ограничения для конкретного сайта включением в доверенную зону.</li>
+</ul>
+