yourWBB » yourWBB Misc * » Das Proggen » HTML, XHTML, JavaScript & CSS » shoutbox & html

shoutbox & html

MmM
ich habe gerade durch zufall "rausgefunden", dass die shoutbox html erlaubt.

inwiefern stellt das ein sicherheitsrisiko dar? jetzt mal nicht davon ausgehend, dass irgendjemand links postet die einen auf fremde fragwürdige seiten locken.
html in beiträgen zu erlauben wird ja beispielsweise immer abgeraten. sollte dann nicht auch eine gewisse gefahr von der shoutbox ausgehen?
Gado
Jo man könnte z.B die Seite verzerren lassen.
Michael B.
ich glaube der ie akzeptiert auch meta weiterleitungen im body tag, in dem der eintrag sich logischerweise befindet.
Gado
Jap. Dann könnte man einfach auf seine verlinken lassen. Also ohne, dass da Weiterleitung steht.
deviled
Naja, man könnte dann auch prinzipiell auch Javascripte reintun, die gefährlich(tm) sind.
MmM
kann man für das input feld verhindern, dass html verarbeitet wird? evntl irgendwelche zeichen sperren?
ich denke da an die zwei zeichen "<" und ">", ohne die html ja nicht arbeiten kann und die sowieso kein mensch braucht.
OLF
ich gebrauch < und > oft für smileys und in meinem forum bin ich da nicht der einzige (>.< :> :< ;>) man könnte doch den script für das verhindern von HTML in den Posts für die shoutbox umschreiben!?
deviled
In HTML kannst du die > und < auch darstellen lassen, es sind Sonderzeichen
xundy
um welche shoutbox geht es denn?

Wäre mit sicherheit keine sache den code eben anzupassen.

mfg
MmM
es handelt sich um die shoutbox von magician, im mod von xundy (aber der mod ist hier nicht relevant)

ich habs mal inner txt angehangen
xundy
Der mod ist sehr interresant, den wenn du die aktuelle Version der Shoutbox verwenden würdest hättest du das Problem gar nicht!


Zum 2 ten nützt das Template gar nichts, da der code der shoutbox.php angepasstw erden müsste!

mfg
MmM
mh hätte nicht gedacht das der xundy-mod was damit zu tun hat.

in der anleitung stand allerdings auch nur, wer magics shoutbox hat soll nur die und die sachen machen.
also die aktuelle version der shoutbox deaktiviert html automatisch?

ich hab sie mal angehangen, falls sich jemand das ansehen will. (ist die original-php von wbb-help.de, eigentlich aktuellster download..)
xundy
Der mod hat damit auch nix zutun!

Allerdings war der fehler schon immer in Magics shoutbox, aber dieser supportetd diese nicht mehr und die weiterentwicklung ist von mir gemacht wordenAugenzwinkern

ersetze mal deine shoutbox.php mit der angehängten!

Mfg
MmM
logisch! hätte ich auch selbst drauf kommen können.

bbcodes funzen, html nicht - so soll es sein. besten dank für den erstklassigen support!

edit: sag mal, xundy, darf ich deinen mod etwas anpassen? nur optisch.. ich wollte einen hintergrund in das input-feld machen und die ganze zeile (input, abschicken und refresh) unter das iframe setzen. und das copyright wollte ich in einen eigenen table setzen..
xundy
Der Hintergrund ist ganz leicht anzupassen indem du einfach class="input" in das input-Tag einfügst,
und natürlich darfste die anpassen, wenn du sie danach nicht als eigene verkaufst Augenzwinkern

Mfg
MmM
yo danke. der xundy-mod kam mir übrigens ganz recht, da die shoutbox, so wie sie vorher war, schon etwas brüchig wurde. eine funktionierende acp-steuerung und mehr anpassungsfähigkeit kam da gerade recht großes Grinsen

kannstes dir ja mal anschauen wenn du sehen willst, wie die shoutbox jetzt aussieht:
http://chainreactor.org
user Testbenutzer
pass testtest

p.s.: eigentlich wollte ich im input-feld weiße schrift haben, aber das lässt sich scheinbar nicht realisieren :/
xundy
Naja also der Hintergrund passt ja nicht wirklich zum Style, ist aber geschmachsache!

Wenn du die Schriftfarbe auch noch ändern willst mache eine neue Klasse ins input-Tag
z.B.: class="shoutinput"

Dann fügst beim zusätzlichen css-code dies ein
code: 
1:
2:
3:

.shoutinput {
    color: #Farbe ;
    background-image: url(PfadzumHintergrund); }


mfg
MmM
ja mit dem hintergrund bin ich noch am experimentieren. das bild das jetzt drin ist, soll erstmal eine demo sein um mir ein gefühl der möglichen tiefe für ein inputfeld zu geben.

danke auf jeden fall für den code, hat bestens gefunzt!

edit: ich habs jetzt mal geändert. müsste jetzt besser passen. aber mal nochne frage: wenn ich im acp zwei shouts löschen will, löscht er immer nur eine. ich kann also nur ein shout auf einmal oder alle shouts löschen. lässt sich da was machen?
xundy
Also das nur ein Shout zu löschen ist oder alle ist erstmal so gewolt, sthet ja auch oben drüber Augenzwinkern

Natürlich kann man da was machen, habe halt diese "Version" nicht released, es wird nur eine neue shoutbox-admin.php benötigt und 2 neue(geänderte) Templates fürs ACP.

Haste den Code für den Borderstyle auch in der shoutinput-Klasse eingefügt?

Mfg
MmM
habs jetzt hinbekommen mit dem border. war mein fehler. irgendwie hat da der style-tag gefehlt. ich habs nur gemerkt als ich am ende der parameter ein " gesehen hatte. also hab ich den style-tag am anfang ergänzt und dann meine border-angaben reingehaun.

also das mit den shouts löschen is erstmal kein problem. ich lösche eigentlich nie shouts, sei denn ich teste was - und das ist selten genug.

auf jeden fall finde ich die shoutbox, so wie sie jetzt ist, sehr gut. und das habe ich dem xundy-mod zu verdanken Augenzwinkern also danke nochmal
nächste Seite
Forensoftware: Burning Board, entwickelt von WoltLab GmbH