Фильтрация полей с помощью Jevix, когда на сайте используется Fenom
Если пользователи что-то вводят на сайте, а вы сохраняете эти данные в базу, то при выводе необходимо фильтровать теги, чтобы не допустить, например, XSS-атаки.
С этой задачей прекрасно справляется Jevix. Но только что столкнулся с проблемкой.
На сайте используется Fenom. И если пользователь введет в поле, например
То Jevix спокойно пропустит фигурные скобочки, а Fenom с удовольствием их обработает. Хорошо, когда фигурные скобки можно вырезать из текста при сохранении. А что делать, если их надо сохранить и вывести?
Я пробовал перед тем, как «подсунуть» поле Jevix'у произвести замену на html-коды скобок. Но вы Jevix жестко заложено преобразование спец-символов в сущности.
В результате, Jevix сводит эту замену на «нет». Я решил проблемку копированием сниппета Jevix и добавлением замены прямо в него. Сниппет JevixFenom
Редактор вырезает HTML-коды символов, поэтому последняя строчка картинкой вставлена =))
Может, стоит оформить пулл-реквест Василию? Добавить, например, настройку «Заменять фигурные скобки»… Или вообще проверять настройки системы и, если найден Fenom, включать эту замену принудительно?
А, может быть, кто-то уже решал такую проблему до меня? Вообще есть другой способ ее решения?
С этой задачей прекрасно справляется Jevix. Но только что столкнулся с проблемкой.
На сайте используется Fenom. И если пользователь введет в поле, например
{if true}
It's worked
{else}
False
{/fi}То Jevix спокойно пропустит фигурные скобочки, а Fenom с удовольствием их обработает. Хорошо, когда фигурные скобки можно вырезать из текста при сохранении. А что делать, если их надо сохранить и вывести?
Я пробовал перед тем, как «подсунуть» поле Jevix'у произвести замену на html-коды скобок. Но вы Jevix жестко заложено преобразование спец-символов в сущности.
В результате, Jevix сводит эту замену на «нет». Я решил проблемку копированием сниппета Jevix и добавлением замены прямо в него. Сниппет JevixFenom
<?php
/** @var array $scriptProperties */
/** @var Jevix $Jevix */
if (!$modx->loadClass('jevix', MODX_CORE_PATH . 'components/jevix/model/jevix/', false, true)) {
return 'Could not load Jevix!';
}
$Jevix = new Jevix($modx, $scriptProperties);
// После обработки скобки заменяются на html-кодыРедактор вырезает HTML-коды символов, поэтому последняя строчка картинкой вставлена =))
Может, стоит оформить пулл-реквест Василию? Добавить, например, настройку «Заменять фигурные скобки»… Или вообще проверять настройки системы и, если найден Fenom, включать эту замену принудительно?
А, может быть, кто-то уже решал такую проблему до меня? Вообще есть другой способ ее решения?
12 декабря 2015, 12:41
Комментарии: 26
Вот-вот, типограф сейчас этого и не делает.
Ну посмотри уже исходники, что ли. Они же не просто так открыты.
Ну посмотри уже исходники, что ли. Они же не просто так открыты.
Я сам щас с телефона))) Вот этот метод как отключить? github.com/bezumkin/modx-jevix/blob/master/core/components/jevix/model/jevix/jevix.core.php#L1312 Зачем он в типографе? =((
Не знал, что ты такой нудный, жаль.
Скобочки в html entities не попадают. Это автор Jevix предусмотрел от всяких XSS, а не тегов MODX.
[], {} работают в Jevix без вопросов.
Скобочки в html entities не попадают. Это автор Jevix предусмотрел от всяких XSS, а не тегов MODX.
[], {} работают в Jevix без вопросов.
Щас подробнее распишу.
Вот есть у меня объект, modExtraItem, который пользователи могут добавлять на сайт/редактировать.
Я знаю, что пользователь может ввести скобки, поэтому объект я вывожу таким сниппетом:
Если вывести так, то выводится нормально — Fenom не обрабатывает такие скобки
Но я хочу еще и типографить поля этого объекта. Я не стал писать свой сниппет для этого, потому что я наглый и ленивый, а взял существующий — Jevix.
Оп, и теги Fenom стали обрабатываться, потому что Jevix такой добрый заменил
Вот есть у меня объект, modExtraItem, который пользователи могут добавлять на сайт/редактировать.
Я знаю, что пользователь может ввести скобки, поэтому объект я вывожу таким сниппетом:
Если вывести так, то выводится нормально — Fenom не обрабатывает такие скобки
[[getModExtraItem? &id=`5` &tpl=`tpl.item`]]Но я хочу еще и типографить поля этого объекта. Я не стал писать свой сниппет для этого, потому что я наглый и ленивый, а взял существующий — Jevix.
[[getModExtraItem:Jevix? &id=`5` &tpl=`tpl.item`]]Оп, и теги Fenom стали обрабатываться, потому что Jevix такой добрый заменил
То есть, речь о том, что Jevix преобразовывает сущности в нормальные символы, чтобы потом повырезать всякую дрянь?
Ну, чтобы пользователь не смог тупо написать
Может, ленивому разработчику лучше сначала отдавать документ Jevix, а потом уже экранировать всякое опасное, как это делает Tickets?
В общем, ты свою проблему решил, я Tickets обновлю завтра, а остальным разработчикам могу только посоветовать думать, что они делают.
И Jevix, и Fenom, и создание всякого с фронтенда — это всё не работает по умолчанию, нужно включить и использовать самостоятельно.
Ну, чтобы пользователь не смог тупо написать
<script>alert()</script>Может, ленивому разработчику лучше сначала отдавать документ Jevix, а потом уже экранировать всякое опасное, как это делает Tickets?
В общем, ты свою проблему решил, я Tickets обновлю завтра, а остальным разработчикам могу только посоветовать думать, что они делают.
И Jevix, и Fenom, и создание всякого с фронтенда — это всё не работает по умолчанию, нужно включить и использовать самостоятельно.
Василий, я про это писал еще здесь.
но все равно где-то дыры будут. Потом где-то регистрацию сделают и человек что-то подобное в своем имени укажет или еще где-то. Проблема тут в том, что откуда бы код не взялся, он в итоге собирается в единое и потом на уровне modResponse отрабатывается как единый шаблон. Это та же проблема, по которой MODX фильтрует MODX-теги в запросах. Вот та же головная боль возникает и здесь. Возможно тут надо подумать немного в другом направлении, как вариант — не отрабатывать все как феном-код на конечном этапе modResponse, хотя это мне и кажется в рамках текущей парадигмы маловероятным.Мы обсуждали тут у себя проблемы безопасности в текущей реализации. Печально, но, скорее всего все-таки придется полностью пересматривать логику его работы.
Обновил и Tickets и Jevix. С первым всё понятно — в дополнение к обработке обычных скобок добавились еще и фигурные.
А вот у Jevix теперь есть новый параметр escapeTags, выключенный по умолчанию.
Надеюсь, теперь все будут довольны.
А вот у Jevix теперь есть новый параметр escapeTags, выключенный по умолчанию.
[[*content:Jevix=`{"escapeTags":true}`]]Надеюсь, теперь все будут довольны.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| Jevix | 1.3.2-pl от 29.03.2019 | 12 782 |
| Tickets | 1.13.0-pl от 10.03.2020 | 19 558 |
Вчера в 21:12
Спасибо. Работает.
15 ноября 2024, 17:40
спасибо, несколько раз проверял и не заметил)
14 ноября 2024, 13:55
Сложна.
Я сделал с помощью js. Задал class для div c results
и вот так прописал
document.querySelector('.easycomm div').textContent = 'Отзывов пок...
14 ноября 2024, 11:50
Добрый день! Установил MarkdownEditorFrontend с modstore и xpdo выдало ошибку что не может найти сервис. К моему удивлению в транспортном пакете не на...
14 ноября 2024, 05:22
astro.build впервые слышу такой фреймворк. Вообще gtsAPI затачивался под primevue.org. Но в primevue вообще не никакой связи с api. Там api как хочешь...
13 ноября 2024, 10:55
Не все пожелания клиента нужно реализовывать. Одно дело когда желание обосновано бизнес-процессами, а другое дело клиент так видит. В данном случае, н...
