Project

General

Profile

Actions

Feature #14320

open

Allow specific HTML Tags and Attributes: general, TinyMCE

Added by Enis Nuredini 2 months ago. Updated about 1 month ago.

Status:
In Progress
Priority:
Normal
Assignee:
Enis Nuredini
Target version:
Start date:
14.06.2022
Due date:
% Done:

0%

Estimated time:
Discuss:

Description

Ausgangslage:
Darstellungsfehler beim Infoterminal resultierend von geladenen Datenbankdaten die als HTML Tags eingetragen waren.
Spezifisch:
Ein Eintrag in der math.notiz Tabelle: "</div> Beispieltext". Wird via AS _file geladen ('t:',notiz.notiz).

Lösung:
Es braucht eine serverseitige Lösung im QFQ um bestimmte Tags herauszufiltern.
Z.b. folgende Erlauben: bold, underline, italic, h2-h6


Related issues

Related to QFQ - Feature #12664: TinyMCE: report/remove malicous HTML/JS CodeNewCarsten Rose09.06.2021

Actions
Related to QFQ - Feature #12039: Missing htmlSpecialChar() in pre processing on form submitNew18.02.2021

Actions
Related to QFQ - Feature #11702: HTML Special Char makes no sense for 'allbut' if '&' is forbiddenNewCarsten Rose06.12.2020

Actions
Related to QFQ - Feature #7239: TinyMCE: html tag whitelistNewCarsten Rose13.11.2018

Actions
Related to QFQ - Feature #3708: Form: input - 'specialchars', 'none' ... gewisse tags erlauben, andere verbietenSome day maybeCarsten Rose12.05.2017

Actions
Related to QFQ - Feature #3646: Moeglichkeit HTML Tags in Reports auszugeben (zu enkodieren: htmlspecialchars)Some day maybe28.04.2017

Actions
Related to QFQ - Feature #880: Security: PHP, SQL Injection, XSSSome day maybe13.08.201525.12.2019

Actions
Actions #1

Updated by Carsten Rose 2 months ago

  • Related to Feature #12664: TinyMCE: report/remove malicous HTML/JS Code added
  • Related to Feature #12039: Missing htmlSpecialChar() in pre processing on form submit added
  • Related to Feature #11702: HTML Special Char makes no sense for 'allbut' if '&' is forbidden added
Actions #2

Updated by Carsten Rose 2 months ago

  • Related to Feature #7239: TinyMCE: html tag whitelist added
  • Related to Feature #3708: Form: input - 'specialchars', 'none' ... gewisse tags erlauben, andere verbieten added
  • Related to Feature #3646: Moeglichkeit HTML Tags in Reports auszugeben (zu enkodieren: htmlspecialchars) added
  • Related to Feature #880: Security: PHP, SQL Injection, XSS added
Actions #3

Updated by Carsten Rose 2 months ago

  • Subject changed from HTML Tags in Texteditor und DB to Allow specific HTML Tags and Attributes: general, TinyMCE

Ich schreibe das Ticket mal neu, so dass die Auftragslage klarer wird:

Ausgangslage: Darstellungsfehler beim Infoterminal resultierend von geladenen Datenbankdaten die als HTML Tags eingetragen waren.

Spezifisch: Ein Eintrag in der math.notiz Tabelle: "</div> Beispieltext". Wird via AS _file geladen ('t:',notiz.notiz).

Summary: mit QFQ waere das nicht passiert, da wird alles by default HTML Specialchar kodiert gespeichert. Aber: manchmal brauchen wir Tags. Z.B. bei TinyMCE - doch nicht alle HTML Tags sollte moeglich sein.

Ausnahme 1: TinyMCE - dort sind HTML Tags inkl. Attributen erlaubt.

Ausnahme 2: htmlspecial char wird fuer spezifische FormElemente deaktiviert.

Die Related Tickets sind bereits teilweise Tickets zu genau dem Thema (also Duplikate). Wir sollten zuerst ein Konzept machen.

Gedanken (kann geloescht werden wenn Konzept fertig ist)
--------------------------------------------------------

Neuer FE.parameter:
htmlAllow=b,i,underline,li,ul,h1,h2,h3,h4,h5,h6,img
tagAllow=???

Aufgabe 1: Templates in der QFQ Doku zu TinyMCE vorbereiten, wie man TinyMCE konfiguriert das nur wenige Auszeichungsoptionen angeboten werden - z.B. bold, underline, italic, itemlist, enumerate, h2-h6, image

Aufgabe 2: Auf der Serverseite in QFQ sicherstellen das alles verbotene gefiltert wird. Der gefilterte Code muss dann in TinyMCE neu geladen und angezeigt werden (sollte eigentlich bereits passieren).

Aufgabe 3: Der HTML und Attribute Tag Filter sollte via FE.parameter auch fuer andere Situationen als TinyMCE aktivierbar sein.

Actions #4

Updated by Enis Nuredini about 2 months ago

  • Status changed from New to ToDo
Actions #5

Updated by Enis Nuredini about 1 month ago

  • Status changed from ToDo to In Progress
Actions

Also available in: Atom PDF