<javascript> wird rausgefiltert
Eingetragen von andreaszdw (20)am 19.02.2015 - 13:20 Uhr in
Ich benutze den CKEditor 4.4.7.3.
Wenn ich im Quelltext ein Javascript einfüge, und abspeichere, funktioniert alles prächtig. Nur wenn ich die Seite erneut bearbeite, wird das javascript wieder rausgefiltert.
Was kann ich tun?
- Anmelden oder Registrieren um Kommentare zu schreiben
Javascript solle man nie über
am 19.02.2015 - 14:30 Uhr
Javascript solle man nie über einen WYSIWYG-Editor eingeben. Entweder als Datei über das Theme oder über die template.php.
.
Werner
drupal-training.de
Moderator und Drupal Trainer
* - - - - - - - - - - - - - - - - - - - - - - - - - - - *
Lösung gefunden
am 19.02.2015 - 15:47 Uhr
Ich brauch das nur auf einer speziellen Seite. Die Lösung ist in sites/all/modules/wysiwyg/editors/ckeditor.inc
'allowedContent' => TRUE,in Zeile 217 einzufügen.
Jetzt wird nicht mehr herausgefiltert.
Warum sollte man kein Javascript in einem WYSIWYG-Editor eingeben? Ich habe das im CKEditor im Quelltext-Modus eingegeben.
Gibt es da Sicherheitsbedenken? Es dürfen auch nur vertrauenswürdige Leute bearbeiten.
Für Hinweise wäre ich dankbar.
Andreas
Mir ist das Risiko zu groß,
am 19.02.2015 - 18:18 Uhr
Mir ist das Risiko zu groß, daß der Editor den Code vermurkst. Diesen Fehler zu finden ist dann nämlich eine echte Herausforderung.
.
Werner
drupal-training.de
Moderator und Drupal Trainer
* - - - - - - - - - - - - - - - - - - - - - - - - - - - *
Hallo
am 20.02.2015 - 13:54 Uhr
da hätte ich extreme Sicherheitsbedenken
wenn Anwender Javascript injektieren können.
Beispiel:
Ein Anwender fügt Javascipt in die Seite ein welches das Cookie eines Users ausliest (welcher gerade die Seite ansieht)
und diese an einen anderen Server sendet.
Damit kann sich der Angreifer nun als jeder anderer User dort anmelden (auch admin).
Das würde ich lieber lassen
MfG
.
Robert
https://awri.ch
Ich habe eine Schweizer Tastatur und daher kein scharfes ß ;-)