Hilfe & Support (deutsch)WebsiteBaker Support (2.12.x) > Hilfe & Support (deutsch)
RSS-Problem/Bug?
evaki:
Da die RSS-Aufgabe hierbei XML-konform ist, gibt's da auch nix einfach mal per Automatik was wegzuradieren. Wenn wer etwas dort nicht zu sehen wünscht, trotz der XML-Konformität, kann <script> wohl in NEWS brachial unterbinden. Ob da nicht wie angedacht eher CSP angebracht ist, kann man überdenken.
Das sollen die DEV entscheiden, ob das relevant ist. Nicht jeder Furz braucht CSP, und - Eigenverantwortung ist auch hier gefragt. Allein die theoretische Möglichkeit kann nicht immer bei sowas herhalten.
Auf den ersten Blick ist das ja schon gemein, da so'n Script ansonsten nirgens zu entdecken ist. Sowas sieht auch keine Sicherheits-Suite, ist ja alles konform :-D
MfG. Evaki
ps. Ich hab' überhaupt nix gemacht, die anderen...
dbs:
In meinem RSS ist kein <script> zu sehen. Aber auf der Newsseite.
Das kommt wohl davon, dass wir einigen hier erlauben wollten, im CK im Quelltext, einem Div auch eigene Sachen wie id, class oder sonstwas mitzugeben. Da wurde wohl gleich alles erlaubt. :)
edit: allerdings sehe ich in der wb_ckconfig.js
config.disallowedCo ntent = 'script; *[on*]';
evaki:
Nix zu sehen?
Bei mir überal, diesmal mit FF und XML-Plugin:
Aufruf: modules/news/rss.php?page_id=6
--- Code: ---
<generator>
WebsiteBaker Content Management System
</generator>
<item>
- 5 children, 5 leafs
<title>
<![CDATA[Abendzeitung:"Pärchen beim Vögeln in der Telefonzelle erwischt"]]>
</title>
<description>
<![CDATA[<p>"Pärchen beim Vögeln in der Telefonzelle erwischt"</p>
<script>
document.write(markup);
</script>
<p>Richter lehnt Bestrafung ab.</p>
]]>
</description>
<link>
http://localhost/posts/abendzeitung-paerchen-beim-voegeln-in-der-telefonzelle-erwischt-1.php
</link>
<pubDate>
--- End code ---
ps. Anscheinend verhindert <![CDATA nicht die Ausführung von <script>, wenn ich das ganze Geraffel hier richtig nachvollzogen habe.
Kannst ja mal statt document.write(markup); eine Referenz zu irgendeiner Homepage testen - hab' ich noch nicht gemacht - z.B. 'ne Umleitung, sollte damit angeblich funktionieren.
Bei mir läuft alles unter der aktuellen WB-Version, also keine Zeitreise in die Zukunft.
MfG. Evaki
dbs:
Sorry, ich hatte mit F12 geschaut. Im Quelltext sehe ich es wie du.
Die Erklärung scheint hier zu stehen:
https://ckeditor.com/docs/ckeditor4/latest/guide/dev_disallowed_content.html#how-to-allow-everything-except
Wenn alles erlaubt wird, wirken die Ausnahmen nicht. Zitat:
"A popular requirement is to allow all HTML features except a few specific ones. In this case setting CKEDITOR.config.all owedContent to true is not a solution, because this completely disables the Advanced Content Filter, so CKEDITOR.config.dis allowedContent will not work either."
Eine Lösung steht da auch. Mal sehen was Dietmar sagt.
DarkViper:
CDATA sorgt nur dafür, dass der Inhalt der Klammer garantiert unverändert (also nicht durch den Reader geparst) übertragen wird. Was der Empfänger dann mit <script> oder <style> Tags anfängt... ist dessen Problem (oder auch nicht).
Navigation
[0] Message Index
[#] Next page
[*] Previous page
Go to full version