Author Topic: RSS-Problem/Bug?  (Read 3419 times)

Offline dbs

  • Betatester
  • **
  • Posts: 8127
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #25 on: June 26, 2019, 09:03:33 AM »
Quote
In NEWS ok, aber im CK nicht?
Der CK ist der eingestellte Standardeditor. News und Wysiwyg nutzen den.
Ein normaler User setzt kein Script in den Text. Sonst könnte man wieder alles erlauben.
Müsste man wissen wie wichtig es wäre, dass auch script oder onchange möglich ist.

Offline astricia

  • Posts: 720
  • Gender: Female
    • netSchmiede24
Re: RSS-Problem/Bug?
« Reply #26 on: June 26, 2019, 10:10:52 AM »
Ich frag jetzt mal hier, da mir jacobi22 aus irgendwelchen Gründen nicht mehr antwortet... (ist der im Urlaub?). Vor einigen Wochen hatte ich ja schon das Problem, dass ich eine rss.php aus einem OFA-Modul generieren wollte. Siehe hier: https://forum.WebsiteBaker.org/index.php/topic,31424.msg220484.html#new Ich brauche dazu aber in der <description> ... </description> mehr als nur EIN Feld aus OFA! Das Bild (über Bild-Upload) hochgeladen konnte ich ja inzwischen integrieren - nicht aber das Bildcopyright (ist ein eigenes Feld). Außerdem möchte ich bei <pubDate>..</pubDate> nicht das Datum der Veröffentlichung haben, sondern ein Datums-Feld aus OFA (da ich dort Meldungen der letzten 10 Jahre manuell importieren werde - das Veröffentlichungsda tum ist somit immer 2019, aber das eigentliche Datum liegt bis zu 10 Jahre zurück!). Oder <pubDate> komplett ausschalten, dafür das Feld aber in die Description mit einbauen.

Momentan enthält die Schleife also:
Code: [Select]
<description>[IMAGE] [FIELD_2]</description>
Ich brauche aber sowas wie:
Code: [Select]
<description>
[IMAGE]
<div class="bildunterschrift">[FIELD_3]</div>
<li>[FIELD_2] ([FIELD_1])</li>
</description>

Feld 1 ist Datum - Feld 3 ist das Bildcopyright.

Wie bekomme ich das hin? Der Kunde hatte bei seiner vorigen (statischen) Website bereits einmal eine Abmahnung wegen fehlendem Bild-Copyright im RSS-Feed und ist da sehr empfindlich! Das muss also vor Freischaltung gelöst sein!

LG,
Astrid

Offline dbs

  • Betatester
  • **
  • Posts: 8127
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #27 on: June 26, 2019, 11:10:21 AM »
Dein Problem passt hier nicht rein. Bitte verwende deinen eigenen Thread.
Wenn du dich dort immer direkt an Uwe wendest, wird vielleicht niemand anderes antworten.

Offline evaki

  • Posts: 2810
Kein DHTML?
« Reply #28 on: June 26, 2019, 11:40:10 AM »
Code: [Select]
Der CK ist der eingestellte Standardeditor. News und Wysiwyg nutzen den.
Ein normaler User setzt kein Script in den Text. Sonst könnte man wieder alles erlauben.


Der ist kein normaler User, der DHTML nutzt?
Also verbietet man? Kann man sich das mit dem Verbieten nicht mal langsam abgewöhnen?
CK nicht nach seinen Wünschen gestalten zu können ist mehr als schräg.
Inhalte nicht mit DHTML ausstatten zu können auch!

NEWS muß nicht zwingend mit dem Standard-Editor zwangsverheiratet sein.
Erst dadurch entsteht das Problem!


MfG. Evaki
« Last Edit: June 26, 2019, 11:54:27 AM by evaki »

Offline dbs

  • Betatester
  • **
  • Posts: 8127
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #29 on: June 26, 2019, 12:03:08 PM »
Quote
Müsste man wissen wie wichtig es wäre, dass auch script oder onchange möglich ist.

Wenn du Angebote ausschlägst, die passende Mischung zwischen Sicherheit und Freiheit zu finden, kann man nicht helfen.
Ich denke ich habe mehrfach zum Ausdruck gebracht, dass man sich das Optimale gern erarbeiten kann.
Von dir kommen aber oft nur Vorwürfe. An dem Punkt ist für mich dann nichts mehr zu machen.
Wende dich bitte direkt an Dietmar.

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #30 on: June 26, 2019, 12:13:06 PM »
Feststellungen und etwas infrage zu stellen hat nichts mit Vorwürfen zu tun, schon gar nicht welche, die sich an eine Person richten. - Wie komme ich dazu?
Meine Aussagen sind Beiträge zur Sachlage, sonst nix. Und wohlmeinend!

Bei Entscheidungen zu "zwischen Sicherheit und Freiheit" kommt mir nicht DHTML in den Sinn.
Da CKEdit nicht nur in WB genutzt wird, kann man sich mal hierzu andere CMS anschauen.
Da geht's.

Ich und andere wollen die Freihet haben DHTML und alles andere was per Norm existiert zu nutzen.
Es ist also keine Frage der Sicherheit. Hier wird etwas verwechselt.
MfG. Evaki

ps. Entdecke ich erst jetzt
>>"Wende dich bitte direkt an Dietmar."
Ich betrachte Beiträge, insbesondere die von Dir als Hilfe; Anregungen und  Vorschläge, die ich nicht missen mag.
Ich ging außerdem bisher davon aus, daß DEV hier regelmäßig reinschauen, und den unterschiedlichen Gedanken und Vorschlägen vielleicht auch folgen.
Somit habe ich die Beiträge von Dir nie als Grundlage für einen Disput betrachtet. Im Gegenteil, wegen teils unterschiedlicher Auffassungen gab's es ja erst das "Reinknien" und Nachhaken.
« Last Edit: June 26, 2019, 12:29:08 PM by evaki »

Offline dbs

  • Betatester
  • **
  • Posts: 8127
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #31 on: June 26, 2019, 12:29:21 PM »
Hatte geschrieben, dass man nicht einfach alles erlaubt, sondern rausfinden muss was erlaubt sein sollte.
Das muss man nämlich alles extra zulassen/aufzählen. Sollte eigentlich durch den CK Link gestern veranschaulicht werden.

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #32 on: June 26, 2019, 12:36:05 PM »
Dem Link bin ich gefolgt.
Da stiime ich Dir gerne zu. Da bleibt's dann jedem selbst überlassen was und wie er CK nutzen will.
Doof ist halt - erst jetzt fällt's mir deutlich auf, daß Du immer CK genannt hast, ich aber immer NEWS, wenn's um die Verhinderung von <script> ging  - Die Zwangsverheiratung, ohne diese Koppelung gäbe es das Dilemma nicht.

Hab' nicht reingeguckt, und frag mal janz doof, hilft nicht'n Filter in view von news?
MfG. Evaki

Offline dbs

  • Betatester
  • **
  • Posts: 8127
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: RSS-Problem/Bug?
« Reply #33 on: June 26, 2019, 01:00:51 PM »
Quote
Ich ging außerdem bisher davon aus, daß DEV hier regelmäßig reinschauen
Kannst du.

Ich versuche Probleme zu verstehen und zu vermitteln. Je mehr das also versuchen, desto näher kommt man vielleicht dem was sinnvoll für alle ist.
Die Überlegung, etwas modulbasiert zu machen, gab es auch. Hier helfen dann nur deine Argumente weiter. Das ist halt immer das Dilemma bei der Kommunikation. Versteht der andere das was gemeint war, oder kann man es auch anders verstehen.
Wir werden sehen.

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #34 on: June 26, 2019, 06:43:22 PM »
So, alle nochmal zusammengetrommelt und die Sachlage besprochen.
Ergebnis:
Der Vorgang stellt anscheinend kein Sicherheitproblem dar.
Egal ob in NEWS/CKE so ein Script unter "News Kurz" eingetragen wird - es wäre erlaubt!

Es verursacht im ausgegebenen RSS/XML "nur" einen Fehler, das XML ist nicht mehr valide.
Das ist alles, sonst nix  :roll:  (ja gut, haben mal wieder dazugelernt  :-D )

Die Ausgabe kann im RSS.php anscheinend gefiltert werden (mit Zeigefinger auf die Programmierer  :-D ) ,der Inhalt inkl. <script> steht in der db unter content_short, und wird von rss.php über
Code: [Select]
$description = stripslashes($item["content_short"]); ausgegeben, wenn ich das jetzt richtig verstanden habe. Kann ja wer 'nen Filter basteln, wenn dat allens so richtich is.

MfG. Evaki

Nachtrag.: FRAGE Wär's statt nun 'nen Sperrfilter für alles Unerlaubte zu stricken, nicht sinnvoll einen Durchlaßfilter/PASS für die vorgegebenen Elemente einzurichten?
« Last Edit: June 26, 2019, 06:59:52 PM by evaki »

Offline evaki

  • Posts: 2810
Gelöst: RSS-Problem/Bug?
« Reply #35 on: June 27, 2019, 04:11:54 PM »
Ich gebe mir mal selbst die Antwort.

Code: [Select]
    <item>
        <title><![CDATA[<?php echo stripslashes($item["title"]); ?>]]></title>
 <?php 
 $muell 
= array("<script>""</script>""<noscript>""</noscript>");
        
$description str_replace($muell""$description); ?>
       

 <description><![CDATA[<?php echo $description?>]]></description>       


Zwar ist es immer noch möglich einen für RSS/XML nicht validen Code in NEWS einzubetten, aber <script> wird im RSS/XML entfernt, als eine reine Vorsichtsmaßnahme. Die Strings - hier html5 - lassen sich natürlich auch html-abwärtskompatibel und um sonstigen Kram erweitern.

Sinnvoll ist auch in die RSS-Doc's reinzuschauen, damit erst garkeine nonvalide Codes Eingang finden. Wie man sehen konnte, ist das ja machbar/möglich.

Das war's wohl zu beiden Anliegen, oder ist noch was offen?
Eigentlich ganz schön viele Wege, Wirrungen und Irrungen für so'n Spaß - muß aber anscheinend sein, wenn man keine Ahnung hat.
MfG. Evaki
 
« Last Edit: June 27, 2019, 04:42:10 PM by dbs »

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3033
  • Gender: Female
Re: RSS-Problem/Bug?
« Reply #36 on: June 27, 2019, 09:40:49 PM »
 $muell = array("<script>""</script>""<noscript>""</noscript>");
 
$description str_replace($muell""$description); ?>

Der Code funktioniert, um die meisten neueren Tags als solche zu entfernen, nicht jedoch den enthaltenen JS-Code.
Allerdings kann solch ein Tag noch zusätzliche Parameter haben, z.B: <script type="javascript"> und dann klappt str_replace() nicht mehr.

Folgender Code entfernt sowohl <script> als auch <noscript> Tags, unabhängig von eventuellen Parametern oder überflüssiger Leerzeichen in den Tags und dazu gleich auch noch den  Inhalt innerhalb der Tags.
 $description = \preg_replace('/(.*?)(<(?:no)?script[^>]*>[^<]*<\/(?:no)?script>)(.*?)/is''$1$3'$description);

Die 2. Lösung entfernt "<script>JS-Code</script>" komplett und bei "<noscript>HTML-Inhalt</noscript>", lässt sie den HTML-Inhalt stehen. [rot wird gelöscht, blau bleibt stehen]
 $description = \preg_replace('/(.*?)(?:(?:<script[^>]*>[^<]*(\s?)<\/script>)|(?:<noscript[^>]*>([^<]*)<\/noscript>))(.*?)/is''$1$2$3'$description);
« Last Edit: June 27, 2019, 11:08:45 PM by DarkViper »
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #37 on: June 28, 2019, 08:34:03 AM »
Danke, danke, hilft weiter!
So kann jeder, der jetzt schon den Patch möchte, schon mal loslegen.

Die von mir vorgestellte Lösung ist eine rein pragmatische, mit dem Hintergedanken, daß wenn <script> fehlt, auch die Ausführung damit entfällt. Wenn dann Code - mit <script> "unsichtbar" - und anderes zu sehen sein sollte, weiß man, das gehört nicht dahin - so wie auch html in noscript  :?
Außerdem war ich zu faul mich wieder mal mit preg_replace rumzuschlagen
 - wenn ich's (noch) vermeiden kann  :-D

Tja, und manchmal muß man vorlegen, damit etwas zurück kommt.

MfG. Evaki
« Last Edit: June 28, 2019, 08:47:39 AM by evaki »

Offline evaki

  • Posts: 2810
Re: RSS-Problem/Bug?
« Reply #38 on: June 28, 2019, 06:36:36 PM »
Will man den erwünschten Effekt nicht nur bei html5 erreichen,
dann statt
 $muell = array("<script>", "</script>", "<noscript>", "</noscript>");
so
 $muell = array("<script", "</script>", "<noscript>", "</noscript>");
Ausführung auch nach unten hin kompatibel verhindert.

MfG. Evaki

 

postern-length