Feature #14320
open
Allow specific HTML Tags and Attributes: general, TinyMCE
0%
Description
Ausgangslage:
Darstellungsfehler beim Infoterminal resultierend von geladenen Datenbankdaten die als HTML Tags eingetragen waren.
Spezifisch:
Ein Eintrag in der math.notiz Tabelle: "</div> Beispieltext". Wird via AS _file geladen ('t:',notiz.notiz).
Lösung:
Es braucht eine serverseitige Lösung im QFQ um bestimmte Tags herauszufiltern.
Z.b. folgende Erlauben: bold, underline, italic, h2-h6
Related issues
Updated by Carsten Rose 2 months ago
- Related to Feature #12664: TinyMCE: report/remove malicous HTML/JS Code added
- Related to Feature #12039: Missing htmlSpecialChar() in pre processing on form submit added
- Related to Feature #11702: HTML Special Char makes no sense for 'allbut' if '&' is forbidden added
Updated by Carsten Rose 2 months ago
- Related to Feature #7239: TinyMCE: html tag whitelist added
- Related to Feature #3708: Form: input - 'specialchars', 'none' ... gewisse tags erlauben, andere verbieten added
- Related to Feature #3646: Moeglichkeit HTML Tags in Reports auszugeben (zu enkodieren: htmlspecialchars) added
- Related to Feature #880: Security: PHP, SQL Injection, XSS added
Updated by Carsten Rose 2 months ago
- Subject changed from HTML Tags in Texteditor und DB to Allow specific HTML Tags and Attributes: general, TinyMCE
Ich schreibe das Ticket mal neu, so dass die Auftragslage klarer wird:
Ausgangslage: Darstellungsfehler beim Infoterminal resultierend von geladenen Datenbankdaten die als HTML Tags eingetragen waren.
Spezifisch: Ein Eintrag in der math.notiz Tabelle: "</div> Beispieltext". Wird via AS _file geladen ('t:',notiz.notiz).
Summary: mit QFQ waere das nicht passiert, da wird alles by default HTML Specialchar kodiert gespeichert. Aber: manchmal brauchen wir Tags. Z.B. bei TinyMCE - doch nicht alle HTML Tags sollte moeglich sein.
Ausnahme 1: TinyMCE - dort sind HTML Tags inkl. Attributen erlaubt.
Ausnahme 2: htmlspecial char wird fuer spezifische FormElemente deaktiviert.
Die Related Tickets sind bereits teilweise Tickets zu genau dem Thema (also Duplikate). Wir sollten zuerst ein Konzept machen.
Gedanken (kann geloescht werden wenn Konzept fertig ist)
--------------------------------------------------------
Neuer FE.parameter:
htmlAllow=b,i,underline,li,ul,h1,h2,h3,h4,h5,h6,img
tagAllow=???
Aufgabe 1: Templates in der QFQ Doku zu TinyMCE vorbereiten, wie man TinyMCE konfiguriert das nur wenige Auszeichungsoptionen angeboten werden - z.B. bold, underline, italic, itemlist, enumerate, h2-h6, image
Aufgabe 2: Auf der Serverseite in QFQ sicherstellen das alles verbotene gefiltert wird. Der gefilterte Code muss dann in TinyMCE neu geladen und angezeigt werden (sollte eigentlich bereits passieren).
Aufgabe 3: Der HTML und Attribute Tag Filter sollte via FE.parameter auch fuer andere Situationen als TinyMCE aktivierbar sein.
Updated by Enis Nuredini about 1 month ago
- Status changed from ToDo to In Progress