Page 1 of 1
Links in Kommentaren
Posted: Mon Nov 27, 2006 5:03 pm
by gimmel
Ich würde in meinem Blog gern Links in den Kommentaren erlauben. Leider werden automatisch alle HTML-Tags bei der Anzeige weggelassen. Links werden zu normalem Text, Elemente wie werden sogar als Text angezeigt. Wie kann ich das verhindern?
Ich habe bereits alle Einstellungen durchsucht und sogar das Spam-PlugIn deaktiviert. Trotzdem keine Änderung.
Kann mir jemand auf die Sprünge helfen?
Re: Links in Kommentaren
Posted: Mon Nov 27, 2006 5:05 pm
by garvinhicking
Hi!
Ja, HTML ist in Kommentaren fest verboten um jegliche Sicherheitslücken erst garnicht entstehen zu lassen.
Für so etwas bietet sich BBCode an, was auch für Besucher einfacher zu nutzen ist als HTML-Tags.
Es gibt keine Möglichkeit ohne den Core von s9y zu patchen um HTML zuzulassen.
Viele Grüße,
Garvin
Nachtrag
Posted: Mon Nov 27, 2006 5:07 pm
by gimmel
Ich war bei der Anfrage nicht ganz präzise:
In der normalen Kommentaranzeige wird korrekt verarbeitet (Links aber nicht). Lediglich im Kommentarspalten-PlugIn wird als Klartext angezeigt.
Re: Nachtrag
Posted: Mon Nov 27, 2006 5:09 pm
by garvinhicking
Hi!
Hm, das verstehe ich wohl niht so ganz, kannst Du da ein Beispiel zeigen irgendwo?
Je nach Anzeigeort wird evtl. einmal htmlentities und einmal htmlspecialchars verwendet. Sag auch bitte mal welche eventplugins du alle installiert hast?
Viele Grüße,
Garvin
Links und so
Posted: Mon Nov 27, 2006 6:57 pm
by gimmel
Danke für die schnelle Antwort. Ich hatte schon überall nach Informationen gesucht, aber nirgendwo gefunden, dass HTML-Tags in Kommentaren immer verboten sind. Steht das irgendwo in der Dokumentation?
Zu dem Problem: Ich will jetzt gerade nicht in meinem Blog rumwursten. Ich setze nachher mal ein Testblog auf und melde mich dann wieder.
Re: Links und so
Posted: Mon Nov 27, 2006 7:48 pm
by garvinhicking
Hi!
gimmel wrote:Danke für die schnelle Antwort. Ich hatte schon überall nach Informationen gesucht, aber nirgendwo gefunden, dass HTML-Tags in Kommentaren immer verboten sind. Steht das irgendwo in der Dokumentation?
Hm, ich wüsste jetzt leider spontan nicht wo. Aber das liegt auch daran dass ich mit der doku eher wenig am Hut habe
Bis dann,
Garvin
Posted: Tue Nov 28, 2006 12:08 am
by gimmel
So, ich habe jetzt ein
Testblog aufgesetzt. Komischerweise wird in dieser frisch installierten beta5 gar nicht mehr korrekt verarbeitet:
Donaudampfschifffahrtskapitän
Im Kommentarfeld in der rechten Spalte steht dagegen
Donau dampf schiff ;fahrts kapitän
Sollte es nicht in beiden Bereichen richtig angezeigt werden? Das sind ja nun keine gefährlichen Tags…
Posted: Tue Nov 28, 2006 12:24 am
by garvinhicking
Hi!
Grundsätzlich sollte das Sonderzeichen nirgends angezeigt werden, sondern immer nur - weil HTML in Kommentaren nämlich nicht erlaubt wird sollte es in "­" konvertiert werden.
Für die Seitenleiste gelten bei langen Wörtern Umbruchbedingungen die ggf. Sonderzeichen auseinanderreißen (daher das '&').
Es ist so, dass HTML-Markup in Kommentaren definitiv vermieden werden muss. Gefährliche Tags hin und her, leider kann man HTML sehr schlecht selektiv fildern. ist sicher problemlos, aber & nicht, oder vor allem &#XXX entity-Werte. Sobald man auch nur eines erlaubt öffnet man sich potentielles Tür und Tor für XSS-Angriffe durch Kommentatoren und Spammer.
In der Vergangenheit sind wir sehr gut mit blockiertem HTML gefahren, weshalb auch s9y bisher im Gegensatz zu anderen Systemen noch relativ jungfräulich dasteht was "böse" Angriffsvektoren angeht.
Viele Grüße,
Garvin
Posted: Tue Nov 28, 2006 12:28 am
by gimmel
Vielen Dank. Gut zu wissen.
PS: Das ist wirklich Service rund um die Uhr… Unglaublich!