Textformatierung mit FCK-Editor [gelöst]
Eingetragen von stebeg (463)am 11.08.2009 - 08:34 Uhr in
Servus,
ich habe folgendes Problem:
Ich benutze auf meiner Seite den FCK-Editor um Texte zu formatieren, nur scheint es so, dass einige Formatierungen nicht richtig übernommen werden. Ein Bespiel:
Wenn ich im FCK-Editor den Text "Fett" mache, dann wird das wie gewünscht übernommen. Wenn ich nun einen Text unterstreiche, dann ist der Text nach dem Speichern weiterhin nicht unterstrichen. Öffne ich diesen text dann wieder im FCK-Editor, so wird er im Editor unterstrichen angezeigt. Auch im Quellcode sind die Tags vorhanden. Wenn ich den Text, der eigentlich unterstrichen sein sollte, dann mit Firebug untersuche sind die Tags fürs unterstreichen nicht auffindbar.
Ein paar Informationen am Rande: Standard-Eingabeformat ist Full-HTML, in den FCK-Editor-Einstellungen sind alle HTML-Filter deaktiviert.
Habe ich in den FCK-Editor-Einstellungen einen Fehler? Ich bin seit gestern Abend auf Lösungssuche und hab noch nichts gefunden, was dieses "Phänomen" erklärt. Bleibt mir nurnoch zu hoffen, dass jemand eine Lösung für das Problem kennt.
- Anmelden oder Registrieren um Kommentare zu schreiben
Re: Textformatierung mit FCK-Editor
am 11.08.2009 - 10:07 Uhr
Wenn ich nun einen Text unterstreiche, dann ist der Text nach dem Speichern weiterhin nicht unterstrichen.
Kann ich mir vorstellen, das das nervt. Wenn's aber wirklich nur um Unterstreichungen geht, dann hast du Glück. Unterstreichungen im Web sind für Links reserviert. Die beste Lösunbg wäre demnach, auf Unterstreichungen zu verzichten.
--
Du hast FULL-HTML als
am 11.08.2009 - 10:21 Uhr
Du hast FULL-HTML als Standard eingestellt? Ich hoffe doch das du niemanden Inhalte erstellen läßt.
----------------------------------------
http://tobiasbaehr.de/
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Ein Forum ist kein Ersatz für das www (Google.de).
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Unerstreichen war lediglich
am 11.08.2009 - 10:58 Uhr
Unerstreichen war lediglich ein Beispiel. Das selbe Problem besteht auch bei Einzügen und horizontalen Strichen. Das ist prinzipiell alles halb so wild. Was mich aber wirklich wurmt bzw was ich mir überhaupt nicht erklären kann ist, dass selbst div-container, die ich über Quellcode oder im einfachen Texteditor erstelle, nicht erkannt werden.
Du hast FULL-HTML als Standard eingestellt? Ich hoffe doch das du niemanden Inhalte erstellen läßt.
Wieso nicht? Die Eingabe erfolgen doch über den FCK-Editor. Ich als Admin benutze ihn doch auch um Inhalte zu erstellen.
Du meinst also in den
am 11.08.2009 - 11:30 Uhr
Du meinst also in den Eingabeformat-Einstellung ist als Standard Filtered HTML eingestellt. Und du änderst den Filter beim Erstellen erst, also unterhalb des Textkörpers?
----------------------------------------
http://tobiasbaehr.de/
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Ein Forum ist kein Ersatz für das www (Google.de).
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Zitat: Du meinst also in
am 11.08.2009 - 12:08 Uhr
Du meinst also in den Eingabeformat-Einstellung ist als Standard Filtered HTML eingestellt. Und du änderst den Filter beim Erstellen erst, also unterhalb des Textkörpers?
Nein!
in den Eingabeformat-Einstellung ist Full-HTML als Standard festgelegt. Aber das kriegt der Benutzer ja garnicht mit, da er, wenn er Inhalte erstellt, ja eh nur den FCK-Editor sieht, der ja seine Eingaben in HTML übersetzt.
Übrigens hab ich eine interessante Entdeckung gemacht. Bei den Textfeldern, bei denen man das Eingabeformat auswählen kann (zum Beispiel beim erstellen eines Artikels), funktioniert der FCK-Editor einwandfrei. Das oben geschilderte Problem mit unterstreichen usw. existiert nur bei den Textfeldern, bei denen man das Eingabeformat nicht auswählen kann, zum Beispiel bei denen, die ich über ein eigenes Modul erstellt habe.
Bevor die Frage noch kommt, ja, bei den Textfeldern, bei denen man das Eingabeformat auswählen kann, ist Full-HTML als Standard eingestellt.
Hab den Fehler endlich
am 11.08.2009 - 12:23 Uhr
Hab den Fehler endlich gefunden ....
Das Textfeld, das ich über ein eigenes Modul erstellt hatte, ermöglich das Ändern eines Inhalts einer Variable. Diese Variable wird normalerweise von einem externen Modul belegt, und zwar über ein Textfeld, bei dem man das Eingabeformat auswählen kann. Als ich das Standard-Eingabeformat von Filtered HTML auf Full HTML änderte ging ich fälschlicher Weise davon aus, dass sich das Standard-Eingabeformat der vorhandenen Inhalte mit ändert (was ja Blödsinn ist, wie mir plötzlich klar wurde XD). Ich musste nur bei allen bereits vorhandenen Inhalten lediglich das Eingabeformat auf Full-HTML wechseln und schon funktionierte es.
Drupal Einstellungen braucht's nicht!? Wozuauch?!
am 11.08.2009 - 12:36 Uhr
Nein!
in den Eingabeformat-Einstellung ist Full-HTML als Standard festgelegt. Aber das kriegt der Benutzer ja garnicht mit, da er, wenn er Inhalte erstellt, ja eh nur den FCK-Editor sieht, der ja seine Eingaben in HTML übersetzt.
Was glaubst Du, warum es 2 Formate gibt und Filtred out-of-the-Box als Standard gesetzt ist. Na ja, melde uns dann, wenn der 1. deine Seite zerschossen hat mit irgendwelchem destruktiven php-Code oder was in der Art.
Ich wüsste jetzt zwar nicht wie man das macht, aber gehn tut das bestimmt.
Gruss Roger
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen <==> das erleichtert das finden von Lösungen
Gruss Roger
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen (1. Posting vom Thema) <==> das erleichtert das finden von Lösungen
Rabbit69 schrieb Ich
am 11.08.2009 - 13:37 Uhr
Ich wüsste jetzt zwar nicht wie man das macht, aber gehn tut das bestimmt.
Die Daten werden zum Server hochgeladen, indem ein HTTP-Post abgesetzt wird. Die gesendeten Daten können natürlich manipuliert werden. Für Firefox gibt es dazu z.B. das schöne Addon Tamper Data.
Auch wenn der FCKEditor die direkte Eingabe von HTML-Quelltext verhindert, kann man also nachträglich JavaScript einfügen. Wenn man Filtered HTML als Eingabeformat verwendet hat, dann ist das nicht schlimm, weil Drupal bei Auslieferung der Daten an den Browser darauf achtet, kein Javascript zu senden. Bei Full HTML ist das aber nicht so.
Das JavaScript, das ein Benutzer eingegeben hat, wird an einen anderen Benutzer ausgeliefert und dort ausgeführt. Das JavaScript könnte z.B. alle Links so umbiegen, das sie auf eine vom Angreifer präparierte Seite leiten und dort die Session ID des Benutzers hinterlassen. Sobald ein Benutzer einem solchen Link folgt, hat der Angreifer die Session ID des Opfers und damit Kontrolle über den Account des Opfers.
--
Offensichtlich hätte ich
am 11.08.2009 - 14:11 Uhr
Offensichtlich hätte ich weiter ausholen sollen ...
In meinem Fall ist die Verwendung von Full-HTML als Standard-Eingabeformat eher unbedenklich, da nicht jeder x-beliebige einfach so Inhalte erstellen darf. Lediglich ich und 2 bis 3 weitere Mitarbeiter dürfen Inhalte für diese Seite erstellen. Insofern ist die Wahrscheinlichkeit, dass mir jemand die Seite zerschießt eher gering.
Ich bin mir der Sicherheitslücke durchausbewusst. Würd ich ein öffentliches Forum oder ähnliches Erstellen würde ich sicher nicht auf Full-HTML umstellen. Aber bei meinem momentanen Projekt ist es sinnvoll, wenn die Mitarbeiter beim Erstellen von Inhalten einen einfach und komfortablen Wysiwyg Editor benutzen können ohne HTML-Tags benutzen zu müssen.