WebsiteBaker Support (2.12.x) > Hilfe & Support (deutsch)

RSS-Problem/Bug?

<< < (3/8) > >>

DarkViper:

--- Quote --- Muß da der header gesetzt sein?
--- End quote ---
Bitte nicht HTTP - HTML - XML verkuddelmuddeln! ;)

HyperTextTransferProtokoll  ist ein Transportprotokoll

HyperTextMarkupLanguage und
eXtensibleMarkupLanguage sind Auszeichnungssprach en.

Kurz gesagt:  Content, der in HTML oder XML formatiert ist, kann über das HTTP übertragen werden.

Das HTTP Protokoll ist (wie andere Protokolle z.B. FTP auch) so aufgebaut, dass ein Requester (Browser, Reader, etc.) eine Anfrage an den Server sendet und als Antwort erst einmal einen Status der Verbindung erwartet. Wenn alles gut ging, ist das '200 OK'. Es könnte aber auch eine 404 oder gar 500 zurück kommen.

Da RSS-Feeds nix anderes als HTTP-Requests sind die auch einen HTTP-Response erwarten, erwartet ein strikt gecodeter Reader auch die 200 als Antwort.
Also header('HTTP/1.0 200 OK');
"Ich sende aber praktisch nie einen Status-Header mit!"  Ist so nicht ganz richtig. ;-)  Denn, falls der Status-Header fehlt, hängen die meisten Server diesen selbstständig vorne dran.
Allerdings sollte man auf solche Jokes wie header('HTTP/1.0 200 i am just a fake header'); verzichten und dann schon den 'richtigen' Header header('HTTP/1.0 200 OK'); einsetzen.
--- Quote ---Wie verhält sich das Teil bei einer IDN-Domain. Gibt's da Probleme?
--- End quote ---
Nein, denn es sind nur die 'Sonderzeichen' (Steuerzeichen) die Probleme bei der Ausgabe machen.

evaki:

--- Quote ---HTTP - HTML - XML verkuddelmuddeln!
--- End quote ---
Keinesfalls, da hier mit Tools gearbeitet wird. die dies alles parallel erfassen, inklusive ein  header('HTTP/1.0 200 i am just a fake header'); , der z.B. mit headers_list(); über'n Browser nicht ausgegeben wird - da streikt auch der Parser bei XML/RSS - , aber hier genutzt werden kann, um das "Durchreichen" der im Template gesetzten Header überprüfen zu können. Und warum? Weil man sehen wollte, ob z.B. CSP bzw. die im Template gesetzten Header durchgereicht werden.

Hier lautete/lauerte die Frage, ob bei RSS/XML bzw. in WB an dieser Stelle überhaupt die Notwendigkeit für derartige "Sicherheits-Header" besteht (rfc). Da bin ich im Moment nämlich überfragt (Wissenslücke). Und über Sicherheitsprobleme an dieser Stelle habe ich bisher noch nichts gelesen, was ja nix heißen muß.
MfG. Evaki

evaki:
Ganz so doof scheint meine/unsere Fragerei diesbezüglich doch nicht zu sein.
Ein im BE nachträglich in <description> </description>untergebrachtes <script> blabla <script>, also
<description><script> blabla <script></description> funktioniert jedenfalls, und ist konform.

Der ganze Vorgang ist aber wohl 'ne rein theoretische Konstruktion, und unterstellt WB-Anwendern böse Absichten. Zeigt aber was möglich ist. Worüber die sich hier allns Gedanken machen...  :?


ps. Das kommt gerade noch herein. Ist 'ne verkürzte Wiedergabe: Ein CSP-Header neben anderen in rss.php könnte evtl. helfen. Über die möglichen Regeln hat sich noch niemand ausgelassen. 
MfG. Evaki

dbs:
Kann ich für die letzte Revision nicht bestätigen. Verstehe auch nicht ganz was BE mit RSS zu tun hat.
Jedenfalls solche <script>bla Sachen im Description-Teil werden im BE komplett entfernt, sowohl in Optionen als auch in den Seiteneinstellungen .
Aber ich verstehe dich sicher falsch.

evaki:
Hätt' ich genauer wiedergeben sollen.
Nun gut, dann für die Bösen  :evil:
Im BE News Kurz=

--- Code: ---<p>"Pärchen beim Vögeln in der Telefonzelle erwischt"</p>
<script>
document.write(markup);
  </script>
<p>Richter lehnt Bestrafung ab.</p>
--- End code ---
Der RSS-Aufruf bekommt das Script.

Aber auch klar: Darauf muß man erstmal kommen...
Und: Ich bin nicht schuld, hab' nix damit zu tun, das war'n die anderen.  :-D
MfG. Evaki

Navigation

[0] Message Index

[#] Next page

[*] Previous page