歡迎光臨, 訪客. 請先 登入註冊一個帳號.
十一月 23, 2024, 12:34:37 上午
19595 文章 在 3865 主題 由 4579 會員
最新註冊會員: aa123aa1
LifeType 中文開發論壇  |  支援  |  安裝與設定  |  [問題]站台說明方塊為何不能內置html語法? « 上篇主題 下篇主題 »
頁: [1]
作者 主題: [問題]站台說明方塊為何不能內置html語法?  (閱讀 14935 次)
TomexOu
一般會員
***
文章: 117



檢視個人資料
« 於: 一月 19, 2006, 02:46:04 下午 »

在1.0.1之前,就是靠它來作客製化,用戶們可在這區塊放網路音樂或圖片
但如今升級1.0.2之後,卻發現無法放html語法,會被清掉。

後台:


前台:


支援html語法很好呀,為何取消?
已記錄

我的LifeType測試環境:
Win2003 R2 Enterprise/IE7.0/XAMPP with Apache 2.2.6 + PHP 5.2.4 + MySQL 5.0.45 /LifeType 1.2.5/GD2.0/Grey Template
Dabu網誌
lss
我不是被~拉~~出來的,不要叫我大大!
總版主
超級會員
*****
文章: 1511



檢視個人資料 個人網站
« 回覆文章 #1 於: 一月 19, 2006, 03:30:18 下午 »

hi tomex_ou:

據說是為了安全問題,所以取消了 blog about 的 html 功能。如果你一定要用的話,可以修改一下 class/action/admin/admin/updateblogsettingsaction.class.php ,把下面這一行(應該是第 72 行附近)做如下的修改:
引用
            $this->_blogInfo->setAbout( Textfilter::filterAllHTML($this->_request->getValue( "blogAbout" )));
這樣做應該就可以了(純想像中可行,煩請你自行驗證囉  微笑。不過,以後昇級就得要再自己 patch 這個部份(1.0.3 已經在做了,今年上半年也會出 1.1)。而且,blogger 若使用 html 不良,很容易造成版面錯誤且不易除錯。若用戶裡有「壞人」,將他們連結到不該連的地方,或是惡意的 javascript ,那可就不好了。自己斟酌囉!

lss
« 最後編輯時間: 一月 19, 2006, 03:37:09 下午 由 lss » 已記錄

沒找過 常見問題集或不知道 如何在 LifeType 中文開發論壇發問的人,恕不回答問題
markwu
系統管理員
超級會員
*****
文章: 3928


Mark Wu


檢視個人資料 個人網站
« 回覆文章 #2 於: 一月 19, 2006, 03:39:42 下午 »

為了你的安全考量,建議別把他取消!

透過他,一些心存惡念的人可以用 Javscript 來作攻擊。所以建議別取消。除非,這個站只有你自己用。

其實,同樣的讓用戶修改模版也是一件危險的事,用 javascript 可以做到許多你想不到的事。

Mark
« 最後編輯時間: 一月 19, 2006, 03:45:03 下午 由 markwu » 已記錄

lss
我不是被~拉~~出來的,不要叫我大大!
總版主
超級會員
*****
文章: 1511



檢視個人資料 個人網站
« 回覆文章 #3 於: 一月 19, 2006, 04:12:53 下午 »

其實,同樣的讓用戶修改模版也是一件危險的事,用 javascript 可以做到許多你想不到的事。
這我非常的同意,不過,我放棄了,從 1.0.2 起我開始研究開放用戶修改模版的可能性。因為 LT 的模版彈性太大了,以致難以控制。若不開放用戶修改模版,要嘛,累死管理員,要嘛,只能提供沒有任何彈性的模版。

除非, Oscar 肯定死模版的規格,否則,開放用戶修改模版似乎是必然的。

lss
已記錄

沒找過 常見問題集或不知道 如何在 LifeType 中文開發論壇發問的人,恕不回答問題
TomexOu
一般會員
***
文章: 117



檢視個人資料
« 回覆文章 #4 於: 一月 19, 2006, 04:23:21 下午 »

我能明白jscript是能作很多破壞的事,尤其我們會coding的人。

不過用戶們很喜歡能自行編修自己的版面,
他們會加入音樂播放器連結或圖片,反應很好哩!

我會先暫時,反正它的破壞應該只限某user版面!
希望LT能在user客製化版面上能多費心...  吐舌頭
已記錄

我的LifeType測試環境:
Win2003 R2 Enterprise/IE7.0/XAMPP with Apache 2.2.6 + PHP 5.2.4 + MySQL 5.0.45 /LifeType 1.2.5/GD2.0/Grey Template
Dabu網誌
TomexOu
一般會員
***
文章: 117



檢視個人資料
« 回覆文章 #5 於: 一月 19, 2006, 04:40:07 下午 »

我已經驗證該修改是成功的,詳細步驟為:

程式碼:

A:

1. 修改:
/class/action/admin/admin/updateblogsettingsaction.class.php

2. 尋找72行:
$this->_blogInfo->setAbout( Textfilter::filterAllHTML($this->_request->getValue( "blogAbout" )));
替代為:
$this->_blogInfo->setAbout( $this->_request->getValue( "blogAbout" ));

3. 尋找92行:
$this->_blogInfo->setAbout( Textfilter::filterAllHTML(stripslashes($this->_request->getValue( "blogAbout" ))));
替代為:
$this->_blogInfo->setAbout( stripslashes($this->_request->getValue( "blogAbout" )));

4. 完成。


已記錄

我的LifeType測試環境:
Win2003 R2 Enterprise/IE7.0/XAMPP with Apache 2.2.6 + PHP 5.2.4 + MySQL 5.0.45 /LifeType 1.2.5/GD2.0/Grey Template
Dabu網誌
lss
我不是被~拉~~出來的,不要叫我大大!
總版主
超級會員
*****
文章: 1511



檢視個人資料 個人網站
« 回覆文章 #6 於: 一月 19, 2006, 06:52:16 下午 »

 開懷大笑 開懷大笑 開懷大笑 開懷大笑 開懷大笑

竟然漏了一個  害羞

hi tomex_ou:

恭喜你啊!還有,注意安全哦  眨眼睛

疑~~~你有開放用戶改模版嗎?若有,乾脆教他們怎麼改模版比較快啦,自由度比較高。

lss
已記錄

沒找過 常見問題集或不知道 如何在 LifeType 中文開發論壇發問的人,恕不回答問題
Stud
初級會員
**
文章: 84


檢視個人資料 個人網站
« 回覆文章 #7 於: 一月 20, 2006, 05:35:38 下午 »

又學到一樣了.

我也認為客製化版面是個趨勢,該擔心地倒不是安全問題,畢竟真正會做壞事就幾個而已.
無名這麼多用戶,還不都開放出來了?有個人風格,才會有興趣去經營,對提昇blogging而言
是好事.對管理者來說,不論如何要做好備份,才能以防萬一.每個人的blog都長得一樣,我想
應該也沒什麼勁玩吧!記得「無罪論」嗎?

該擔心地應該是會員處理不好,使得版面錯亂,這個發生的機率應該比較大,所以還是要管
理者好好教會員怎麼操作才對.
已記錄

大都會聯播網 http://www.metro.com.tw (WinXP SP3下載中+女童受虐醒思)
markwu
系統管理員
超級會員
*****
文章: 3928


Mark Wu


檢視個人資料 個人網站
« 回覆文章 #8 於: 一月 20, 2006, 05:38:02 下午 »

其實不出大事則已,一出大事就不太妙了。

其實還是有一個防制的方式,例如把模版與站台放在不同的 domain,這樣要透過 javascript 來作 XSS 攻擊就比較難了。

MArk
已記錄

頁: [1]
LifeType 中文開發論壇  |  支援  |  安裝與設定  |  [問題]站台說明方塊為何不能內置html語法? « 上篇主題 下篇主題 »
    前往: