Ich würde in meinem Blog gern Links in den Kommentaren erlauben. Leider werden automatisch alle HTML-Tags bei der Anzeige weggelassen. Links werden zu normalem Text, Elemente wie werden sogar als Text angezeigt. Wie kann ich das verhindern?
Ich habe bereits alle Einstellungen durchsucht und sogar das Spam-PlugIn deaktiviert. Trotzdem keine Änderung.
Kann mir jemand auf die Sprünge helfen?
Links in Kommentaren
-
garvinhicking
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Re: Links in Kommentaren
Hi!
Ja, HTML ist in Kommentaren fest verboten um jegliche Sicherheitslücken erst garnicht entstehen zu lassen.
Für so etwas bietet sich BBCode an, was auch für Besucher einfacher zu nutzen ist als HTML-Tags.
Es gibt keine Möglichkeit ohne den Core von s9y zu patchen um HTML zuzulassen.
Viele Grüße,
Garvin
Ja, HTML ist in Kommentaren fest verboten um jegliche Sicherheitslücken erst garnicht entstehen zu lassen.
Für so etwas bietet sich BBCode an, was auch für Besucher einfacher zu nutzen ist als HTML-Tags.
Es gibt keine Möglichkeit ohne den Core von s9y zu patchen um HTML zuzulassen.
Viele Grüße,
Garvin
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
Nachtrag
Ich war bei der Anfrage nicht ganz präzise:
In der normalen Kommentaranzeige wird korrekt verarbeitet (Links aber nicht). Lediglich im Kommentarspalten-PlugIn wird als Klartext angezeigt.
In der normalen Kommentaranzeige wird korrekt verarbeitet (Links aber nicht). Lediglich im Kommentarspalten-PlugIn wird als Klartext angezeigt.
-
garvinhicking
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Re: Nachtrag
Hi!
Hm, das verstehe ich wohl niht so ganz, kannst Du da ein Beispiel zeigen irgendwo?
Je nach Anzeigeort wird evtl. einmal htmlentities und einmal htmlspecialchars verwendet. Sag auch bitte mal welche eventplugins du alle installiert hast?
Viele Grüße,
Garvin
Hm, das verstehe ich wohl niht so ganz, kannst Du da ein Beispiel zeigen irgendwo?
Je nach Anzeigeort wird evtl. einmal htmlentities und einmal htmlspecialchars verwendet. Sag auch bitte mal welche eventplugins du alle installiert hast?
Viele Grüße,
Garvin
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
Links und so
Danke für die schnelle Antwort. Ich hatte schon überall nach Informationen gesucht, aber nirgendwo gefunden, dass HTML-Tags in Kommentaren immer verboten sind. Steht das irgendwo in der Dokumentation?
Zu dem Problem: Ich will jetzt gerade nicht in meinem Blog rumwursten. Ich setze nachher mal ein Testblog auf und melde mich dann wieder.
Zu dem Problem: Ich will jetzt gerade nicht in meinem Blog rumwursten. Ich setze nachher mal ein Testblog auf und melde mich dann wieder.
-
garvinhicking
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Re: Links und so
Hi!
Bis dann,
Garvin
Hm, ich wüsste jetzt leider spontan nicht wo. Aber das liegt auch daran dass ich mit der doku eher wenig am Hut habegimmel wrote:Danke für die schnelle Antwort. Ich hatte schon überall nach Informationen gesucht, aber nirgendwo gefunden, dass HTML-Tags in Kommentaren immer verboten sind. Steht das irgendwo in der Dokumentation?
Bis dann,
Garvin
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
So, ich habe jetzt ein Testblog aufgesetzt. Komischerweise wird in dieser frisch installierten beta5 gar nicht mehr korrekt verarbeitet:
Donaudampfschifffahrtskapitän
Im Kommentarfeld in der rechten Spalte steht dagegen
Donau dampf schiff ;fahrts kapitän
Sollte es nicht in beiden Bereichen richtig angezeigt werden? Das sind ja nun keine gefährlichen Tags…
Donaudampfschifffahrtskapitän
Im Kommentarfeld in der rechten Spalte steht dagegen
Donau dampf schiff ;fahrts kapitän
Sollte es nicht in beiden Bereichen richtig angezeigt werden? Das sind ja nun keine gefährlichen Tags…
-
garvinhicking
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Hi!
Grundsätzlich sollte das Sonderzeichen nirgends angezeigt werden, sondern immer nur - weil HTML in Kommentaren nämlich nicht erlaubt wird sollte es in "­" konvertiert werden.
Für die Seitenleiste gelten bei langen Wörtern Umbruchbedingungen die ggf. Sonderzeichen auseinanderreißen (daher das '&').
Es ist so, dass HTML-Markup in Kommentaren definitiv vermieden werden muss. Gefährliche Tags hin und her, leider kann man HTML sehr schlecht selektiv fildern. ist sicher problemlos, aber & nicht, oder vor allem &#XXX entity-Werte. Sobald man auch nur eines erlaubt öffnet man sich potentielles Tür und Tor für XSS-Angriffe durch Kommentatoren und Spammer.
In der Vergangenheit sind wir sehr gut mit blockiertem HTML gefahren, weshalb auch s9y bisher im Gegensatz zu anderen Systemen noch relativ jungfräulich dasteht was "böse" Angriffsvektoren angeht.
Viele Grüße,
Garvin
Grundsätzlich sollte das Sonderzeichen nirgends angezeigt werden, sondern immer nur - weil HTML in Kommentaren nämlich nicht erlaubt wird sollte es in "­" konvertiert werden.
Für die Seitenleiste gelten bei langen Wörtern Umbruchbedingungen die ggf. Sonderzeichen auseinanderreißen (daher das '&').
Es ist so, dass HTML-Markup in Kommentaren definitiv vermieden werden muss. Gefährliche Tags hin und her, leider kann man HTML sehr schlecht selektiv fildern. ist sicher problemlos, aber & nicht, oder vor allem &#XXX entity-Werte. Sobald man auch nur eines erlaubt öffnet man sich potentielles Tür und Tor für XSS-Angriffe durch Kommentatoren und Spammer.
In der Vergangenheit sind wir sehr gut mit blockiertem HTML gefahren, weshalb auch s9y bisher im Gegensatz zu anderen Systemen noch relativ jungfräulich dasteht was "böse" Angriffsvektoren angeht.
Viele Grüße,
Garvin
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/