主題: [問題]站台說明方塊為何不能內置html語法?
作者: TomexOu 於 一月 19, 2006, 02:46:04 下午
在1.0.1之前,就是靠它來作客製化,用戶們可在這區塊放網路音樂或圖片
但如今升級1.0.2之後,卻發現無法放html語法,會被清掉。
後台:
(http://img35.imageshack.us/img35/5865/snap15tv.gif)
前台:
(http://img13.imageshack.us/img13/4144/snap37ca.gif)
支援html語法很好呀,為何取消?
主題: Re: [問題]站台說明方塊為何不能內置html語法?
作者: lss 於 一月 19, 2006, 03:30:18 下午
hi tomex_ou: 據說是為了安全問題,所以取消了 blog about 的 html 功能。如果你 一定要用的話,可以修改一下 class/action/admin/admin/updateblogsettingsaction.class.php ,把下面這一行(應該是第 72 行附近)做如下的修改: $this->_blogInfo->setAbout( Textfilter::filterAllHTML($this->_request->getValue( "blogAbout" )));
這樣做應該就可以了(純想像中可行,煩請你自行驗證囉 :-)。不過,以後昇級就得要再自己 patch 這個部份(1.0.3 已經在做了,今年上半年也會出 1.1)。而且,blogger 若使用 html 不良,很容易造成版面錯誤且不易除錯。若用戶裡有「壞人」,將他們連結到不該連的地方,或是惡意的 javascript ,那可就不好了。自己斟酌囉! lss
主題: Re: [問題]站台說明方塊為何不能內置html語法?
作者: markwu 於 一月 19, 2006, 03:39:42 下午
�為了你的安全考量,建議別把他取消!
透過他,一些心存惡念的人可以用 Javscript 來作攻擊。所以建議別取消。除非,這個站只有你自己用。
其實,同樣的讓用戶修改模版也是一件危險的事,用 javascript 可以做到許多你想不到的事。
Mark
主題: Re: [問題]站台說明方塊為何不能內置html語法?
作者: lss 於 一月 19, 2006, 04:12:53 下午
�其實,同樣的讓用戶修改模版也是一件危險的事,用 javascript 可以做到許多你想不到的事。
這我非常的同意,不過,我放棄了,從 1.0.2 起我開始研究開放用戶修改模版的可能性。因為 LT 的模版彈性太大了,以致難以控制。若不開放用戶修改模版,要嘛,累死管理員,要嘛,只能提供沒有任何彈性的模版。 除非, Oscar 肯定死模版的規格,否則,開放用戶修改模版似乎是必然的。 lss
主題: Re: [問題]站台說明方塊為何不能內置html語法?
作者: TomexOu 於 一月 19, 2006, 04:23:21 下午
我能明白jscript是能作很多破壞的事,尤其我們會coding的人。
不過用戶們很喜歡能自行編修自己的版面,
他們會加入音樂播放器連結或圖片,反應很好哩!
我會先暫時,反正它的破壞應該只限某user版面!
希望LT能在user客製化版面上能多費心... :-P
主題: Re: [問題]站台說明方塊為何不能內置html語法?
作者: TomexOu 於 一月 19, 2006, 04:40:07 下午
我已經驗證該修改是成功的,詳細步驟為:
A:
1. 修改:
/class/action/admin/admin/updateblogsettingsaction.class.php
2. 尋找72行:
$this->_blogInfo->setAbout( Textfilter::filterAllHTML($this->_request->getValue( "blogAbout" )));
替代為:
$this->_blogInfo->setAbout( $this->_request->getValue( "blogAbout" ));
3. 尋找92行:
$this->_blogInfo->setAbout( Textfilter::filterAllHTML(stripslashes($this->_request->getValue( "blogAbout" ))));
替代為:
$this->_blogInfo->setAbout( stripslashes($this->_request->getValue( "blogAbout" )));
4. 完成。
主題: Re: [問題]站台說明方塊為何不能內置html語法?
作者: lss 於 一月 19, 2006, 06:52:16 下午
:-D :-D :-D :-D :-D
竟然漏了一個 :-$
hi tomex_ou:
恭喜你啊!還有,注意安全哦 ;-)
疑~~~你有開放用戶改模版嗎?若有,乾脆教他們怎麼改模版比較快啦,自由度比較高。
lss
主題: Re: [問題]站台說明方塊為何不能內置html語法?
作者: Stud 於 一月 20, 2006, 05:35:38 下午
又學到一樣了.
我也認為客製化版面是個趨勢,該擔心地倒不是安全問題,畢竟真正會做壞事就幾個而已.
無名這麼多用戶,還不都開放出來了?有個人風格,才會有興趣去經營,對提昇blogging而言
是好事.對管理者來說,不論如何要做好備份,才能以防萬一.每個人的blog都長得一樣,我想
應該也沒什麼勁玩吧!記得「無罪論」嗎?
該擔心地應該是會員處理不好,使得版面錯亂,這個發生的機率應該比較大,所以還是要管
理者好好教會員怎麼操作才對.
主題: Re: [問題]站台說明方塊為何不能內置html語法?
作者: markwu 於 一月 20, 2006, 05:38:02 下午
其實不出大事則已,一出大事就不太妙了。
其實還是有一個防制的方式,例如把模版與站台放在不同的 domain,這樣要透過 javascript 來作 XSS 攻擊就比較難了。
MArk
|