Javascript Code einfügen

**hinz.t** · 23.06.2009, 13:25

Hallo,

vielleicht kann mir jemand helfen. Ich möchte "Multibox" nutzen. Damit kann man alle möglichen Inhalte (JPG, FLV, HMTL) in einer Lightbox abbilden. Damit ich mehrere Gelerien platzieren kann muss ich für jede Galerie auf der Seite den folgenden Javascript-Code individuell bei jeder Galerie mitgeben:

<script type="text/javascript">
var box = {};
window.addEvent('domready', function(){
box = new MultiBox('mb', {
useOverlay: true,
container: document.body,
contentColor: '#FFF',
showNumbers: true,
descClassName: 'multiBoxDesc',
path: 'multibox/'
});
});
</script>

Dabei wird "box = new MultiBox('mb', {" jeweils abgeändert.

Wenn ich versuche den Code über das Modul "Eigenes HTML" einzubinden wird immer der TAG <script> einfach gelöscht.

Weiss da jemand eine Lösung?

Vielen Dank

***Nina*** · 23.06.2009, 13:28

Unter "Einstellungen" im Adminbereich kannst du <script> als erlaubtes HTML-Element angeben.

**hinz.t** · 23.06.2009, 13:43

Super hat geklappt, vielen Dank

**Toflar** · 23.06.2009, 15:56

Dachte das sollte man nicht?
Hab das gelesen bei den Unterlagen von Leo vom Usertreffen?

**Psi** · 23.06.2009, 18:35

den <script>-Tag zu verwenden ist BÖSE und das sollte man tunlichst vermeiden.

Eine bessere Möglichkeit wäre die Verwendung des {{file::mbox_js.php}} Insert-Tags. Den Javascript-Code lagerst du einfach in die mbox_js.php im templates-Ordner aus.

Grüße,
Christoph

### EDIT
Jetzt habe ich überlesen, dass du 'mb' jeweils ändern willst. Das wäre so zu lösen:
{{file::mbox_js.php?mb=myMbWert}}

mbox_js.php Inhalt

PHP-Code:


<script type="text/javascript">

var box = {};

window.addEvent('domready', function(){

box = new MultiBox('<?php echo $this->Input->get('mb');?>', {

useOverlay: true,

container: document.body,

contentColor: '#FFF',

showNumbers: true,

descClassName: 'multiBoxDesc',

path: 'multibox/'

});

});

</script>

***Nina*** · 23.06.2009, 18:48

Zitat von Psi

den <script>-Tag zu verwenden ist BÖSE und das sollte man tunlichst vermeiden.

Ich versteh, dass es ein Sicherheitsrisiko sein kann. Wie aber sollte man dann (aus meiner Sicht) legitime Aufrufe wie hier im Tutorial vornehmen?

**Toflar** · 23.06.2009, 18:56

Zusätzlicher XSS-Schutz
● Das <script>-Tag gehört nicht in der Liste der erlaubten Tags
● Die Einbindung von JavaScript ist sonst in allen Feldern möglich,
in denen HTML-Eingaben erlaubt sind!

Nachzulesen hier: http://https://contao.org/raw-attach...-TYPOlight.pdf

***Nina*** · 23.06.2009, 18:59

Im Modul "Eigener HTML-Code" funktioniert es dann aber nicht. Somit müsste man die Änderung direkt im fe_page.tpl machen, was ich eigentlich möglichst wegen Zusatzaufwand bei Updates vermeiden will.

**Toflar** · 23.06.2009, 19:31

Hmm, dann müsste wohl Leo sagen, wie es genau gemacht werden muss

Ich füge es einfach immer als zusätzlichen <head> Tag ein

**acenes** · 23.06.2009, 19:35

Wie wäre es mit einem Modul vom Typ "eigener HTML Code"?

Mache ich jedenfals meistens so. Wieso das nicht gehen soll kann ich nicht ganz nachvollziehen. Dieses Modul kannst du dann ja direkt als Element im Artikel einfügen, dazu musst du doch nicht extra das Template abändern?

***Nina*** · 23.06.2009, 19:52

Wenn man vermeiden will, dass <script> in den erlaubten HTML-Elementen bei den Einstellungen steht, kann man das Modul "Eigener HTML-Code" nicht verwenden. Das löscht sonst die script-Teile wieder raus. Genau das ist ja der Haken.

**acenes** · 23.06.2009, 20:04

Hmm. Ich denke mit folgenden Eintrag im dcaconfig.php könnte man es gezielt nur für html Module freischalten:

PHP-Code:


$GLOBALS['TL_DCA']['tl_module']['fields']['html']['eval'] =
  array('preserveTags'=>true, 'class'=>'monospace');

Ohne Gewähr, habs jetzt nicht ausprobiert.

Falls das nicht geht, klappt wahrscheinlich folgendes statt dessen:

PHP-Code:


$GLOBALS['TL_DCA']['tl_module']['fields']['html']['eval']['preserveTags'] = true;

**Toflar** · 23.06.2009, 20:09

Ja natürlich, aber sowas können wir ja anderen TL-Neulingen nicht antun oder?

**acenes** · 23.06.2009, 20:13

Zitat von Toflar

Ja natürlich, aber sowas können wir ja anderen TL-Neulingen nicht antun oder?

Wieso nicht, man wächst doch an solchen Aufgaben

Spass beiseite, ich plädiere auch dafür beim Modul "Eigener HTML Code" das bereits ab Werk so einzustellen.

**Psi** · 23.06.2009, 21:40

Okay, ich versuche meine Methode nochmal zu erläutern.

Jeglicher Javascript-Code wird einfach in eine PHP-Datei im Templatesverzeichnis ausgelagert. Hier kommt man vom Backend aus nicht ran, sondern nur über FTP o.ä.
Also kein Redakteuer kann was dummes anstellen.

Dieser Ausgelagerte JS-Code wird dann über den file-InsertTag an eine beliebige Stelle der Website eingefügt - zum Beispiel in ein extra dafür vorgesehenes HTML-Code Inhaltselement, oder in ein Modul oder oder. Dabei muss der <script>-Tag nicht in den erlaubten Tags stehen, da er in den Eingabefeldern ja nirgends auftaucht.

Wird die Website von TYPOlight über das Frontend ausgegeben, ersetzt das System den {{file}}-InserTag ziemlich zum Schluss durch den Inhalt der Datei.

=> Ergo. Javascript-Code eingefügt ohne dabei für alle <script> zuzulassen.

Natürlich kann jeder Redakteuer jetzt auch über diesen file-Insert-Tag die Javascript-Datei inkludiern, aber eben nur genau diese eine Datei! Und der Inhalt wurde ja von euch vorgegeben und ist "harmlos".

***Nina*** · 23.06.2009, 21:45

Wenn ich dich richtig verstehe, schlägst du also vor:

PHP-Datei anlegen und den gewünschten Script-Code reinschreiben
Die Datei z. B. beispiel_js.php nennen und per FTP in den /templates-Ordner laden
Dann z. B. einfach ins Modul "Eigener HTML-Code" das Insert Tag {{file::beispiel_js.php}} schreiben und dieses Modul im Seitenlayout einbinden (damit es übergreifend überall auftaucht)

Nachtrag: Funktioniert perfekt. Ich schreibe gerade mein Tutorial entsprechend um. Danke für den Tipp

**Psi** · 23.06.2009, 21:49

Nun, für den speziellen Fall, dass es ÜBERALL auftauchen soll, kannst du auch gleich das Feld "Zusätzliche <head>-Tags" im Seitenlayout verwenden. Dieses ist wird nicht vom Script-Tag bereinigt (seltene Ausnahme).

***Nina*** · 23.06.2009, 21:58

Bei meinem Script ist eine Mischung aus beidem notwendig (head-Tag und Modul), damit man es an beliebiger Stelle auf der Seite hinterlegen kann. Funktioniert nun prima (gerade getestet).

Ich habe das Tutorial entsprechend angepasst.

**Psi** · 23.06.2009, 22:00

Na super! Bin ich froh, dass ich dir auch mal helfen konnte.

***Nina*** · 23.06.2009, 22:01

Zitat von Psi

Na super! Bin ich froh, dass ich dir auch mal helfen konnte.

*lach* Wäre ja langweilig wenn ich alles wüsste

**mv_alex** · 27.10.2009, 10:28

An der Stelle möchte ich jetzt gerne noch mal nachhaken.

Wo genau besteht denn die Gefahr, die Verwendung von Scripts zuzulassen?

Ich sehe zwei potenzielle Risiken:

1. Ein Redakteur bindet im BE (wissentlich oder unwissentlich) schadhaften Code als HTML-Element ein.
2. Ein Nutzer versucht im FE, schadhaften Code über ein Kontaktformular oder die Kommentarfunktion einzuschleusen.

zu 1.: Habe ich Redakteure? Falls nein, wäre die Gefahr nur theoretisch.
zu 2.: Ich kann die Verwendung von HTML unterbinden. Gefahr gebannt (?).

Überseh ich da noch was?

Gruß Alex