Applaus
Walter Horstman - wo 03 okt 07 10:17
Hierbij stuur ik kjullie een probleempje (uitdaging?) waar ik gisteren al een paar uurtjes zoet mee ben geweest. Het probleem is dat ik een invoerveld wil hebben en daarin de gebruiker van de site enige opmaak wil laten intikken, maar het moet veilig blijven.
Al zoekende door Google, blogs, recipe books, etc. kwam ik op Textile, RedCloth, MarkDown en de Rails-helpers textilize() en textilize_without_paragraphs(). Dus ik dacht het antwoord gevonden te hebben, maar toch niet volgens mij. Ik merkte dat als ik teksten in tik als: “
Test
”, de “” en “
” gewoon doorgelaten worden. Dat lijkt me niet de bedoeling, want zo kan er gehacked worden door de gebruiker. RedCloth kent wat argumenten, zoals :filter_html, die mij doen vermoeden dat dit soort HTML dan wordt geweerd, maar mij lukte dat niet.Vervolgens ben ik eens bij “http://rubyenrails.nl”: http://rubyenrails.nl gaan kijken en heb ook enkele blogs van jullie gezien en zag dat jullie daar ook dergelijke velden hadden. Ik heb een beetje zitten testen (gelukkig boden ze alleen een preview optie) en zag dat ik bij sommige dingen als “test” kon doen. Vervolgens kreeg in in de preview een alert-box. Dat lijkt mij niet veilig.
Om de vraag concreet te maken, zijn er goede hulpmiddelen (best practices) waarmee ik een gebruiker de volgende opties kan geven:
- Cursief
- Onderstreept
- Vet
- Smilies (optioneel)
Welcome to Holland On Rails
This weblog is the official Ruby techblog from the guys at Holder, a Ruby development company. Holder is also the company behind the RubyAndRails Europe Conference in Amsterdam.Recente Jobs
Bekijk alle jobs »»
Gereedschapskist
Onmisbare tools vooriedere developer!
- Ruby On Rails
Framework voor de web 2.0 developer. Eindelijk vooruitgang! - TextMate
Editor for true pro's
Typ, tab, top :-)
Nee, niet voor Win. - Made On A Mac
En nou is het over met die saaie grijze Windows bak van je!
Auteurs op deze site
Chris Obdam
'Less is more' evangelist, past dit ook dagelijks toe op zijn tandenborstel.Chiel Wester
Snelheidswonder op Ruby wielen. Leuk om mee te pair-programmen ;-)
Orne - zo 14 okt 07 17:50
Whoops, moest & lt ; en & gt ; zijn (zonder spaties).
Zie voor de complete lijst:
http://www.webmonkey.com/reference/special_characters/
Orne - zo 14 okt 07 17:47
Kun je het niet oplossen door met BBcode tags te werken [b]bold[/b], [u]underline[/u] etc…
Voor het parsen van de BB tags < en > vervangen door < en ≶ zodat de ingevoerde HTML tags gewoon zichtbaar worden als tekst en dus niet door de browser als HTML worden gezien.
Chris Obdam - wo 03 okt 07 22:19
Dit is alleen textilize. Ik denk dat jij op zoek was naar een soort TinyMCE?
Walter Horstman - wo 03 okt 07 10:38
Ik wilde eigenlijk een lichtgewicht edit boxje hebben met wat HTML mogelijkheden, maar dan in een ander formaat. Dat is wellicht niet slim. Ik kan dan beter white list gebruiken, begrijp ik nu. En ik hoef voor dit geval niet echt een WYSIWYG-editor te zien op de site.
Begrijp ik het goed als Textile gewoon een ander formaat is om HTML-opmaak uit te genereren?
Overigens is mijn post aardig in de war geraakt zie ik. En de test met de alert werkt zelf in de post. Dat is toch op zich niet de bedoeling? Dus deze site lijkt mij dan ook problemen te kunnen hebben met javascript insertion. Of zie ik dat verkeerd?
Leon Berenschot - wo 03 okt 07 10:19
Hello leute!
Op deze pagina wordt whitelisting voorgesteld, misschien is dat wat?
http://www.rorsecurity.info/2007/05/29/controller-user-input-validation/
Just my 2c
-Leon
Chris Obdam - wo 03 okt 07 10:18
HTML code wordt denk ik in ieder geval niet weer gegeven.. :-)
Plaats je reactie