Bestimmte Zeichen in Insert Tags werden seit Update ersetzt

**unnoan** · 03.08.2022, 16:51

Wir haben in Contao ein "Custom Insert Tag", in dem mehrere Settings zu setzen sind. System ist dabei immer setting_name=wert, dann Zeilenumbruch und so weiter. Habe einen Screenshot (mit teilweise geschwärzten Stellen) angehängt. Ist aber für das eigentliche Problem auch nicht so entscheidend, denn die Hauptfrage ist folgende:

Die "=" Zeichen werden seit einem Update beim Speichern wohl zu der entsprechenden HTML-Entity, also zu "=" umgewandelt, wodurch der Custom Insert Tag nicht mehr richtig funktioniert. Warum ist das plötzlich der Fall? Kann ich das selbst fixen oder passiert das aus Sicherheitsgründen und ist daher nicht zu ändern?

Man sieht die HTML-Entity auch tatsächlich wie im Screenshot zu sehen nur in der Vorschau des Elements im Backend. Wenn ich auf den Editor wechsle, scheint alles "normal" zu sein, also die "=" werden genau so dargestellt als wären sie nicht ersetzt worden. Sehr verwirrend und hat daher auch lange gedauert auf den Fehler (wenn man das so nennen kann) zu kommen.
Hat da jemand Erleuchtung für mich? Hab auch versucht im Contao Changelog mal zu schauen, ob ich da die entsprechende Änderung finde, die dazu führt. Leider bin ich da nicht schlauer geworden, was aber evtl. auch daran liegen kann, dass ich es übersehen habe. Danke schon mal im Voraus für jegliche Hilfe hierzu.

Nachtrag:
Contao ist übrigens auf 4.9.13, falls das noch ne wichtige Info hierfür sein könnte.

**dhe** · 04.08.2022, 09:13

Wird das "=" auch z.B. beim Insert Tags {{image}} ersetzt?
Beispiel:
{{image::UUID?width=150}}

UUID zum testen durch eine reguläre ersetzen (findest du in der Dateiverwaltung bei der Datei unter "i")

Wird das "=" auch im Element "Text" ersetzt?

**Kopfnuss** · 04.08.2022, 10:41

Hey,

versuch mal in den Systemeinstellungen bei Erlaubte HTML-Attribute für das Element * das Attribut * einzustellen. Dadurch wird die Attribut-Filterung komplett deaktiviert.
Das ist jedoch unsicher uns sollte nur dann verwendet werden, wenn allen Backend-Benutzern zu 100% vertraut wird.

Gruß
Marco

**unnoan** · 04.08.2022, 11:37

Zitat von dhe

Wird das "=" auch z.B. beim Insert Tags {{image}} ersetzt?
Beispiel:
{{image::UUID?width=150}}

UUID zum testen durch eine reguläre ersetzen (findest du in der Dateiverwaltung bei der Datei unter "i")

Wird das "=" auch im Element "Text" ersetzt?

Sehr gute Idee, da bin ich nicht drauf gekommen. Es passiert tatsächlich NUR beim Elementtyp "HTML" und dann auch bei "hauseigenen" Insert Tags wie bei deinem image Beispiel, siehe Screenshot. test_html_text_vergleich.png Wenn ich den Elementtyp "Text" verwende, passiert diese Conversion anscheinend nicht, oder zumindest nicht sichtbar.

Zitat von Kopfnuss

Hey,

versuch mal in den Systemeinstellungen bei Erlaubte HTML-Attribute für das Element * das Attribut * einzustellen. Dadurch wird die Attribut-Filterung komplett deaktiviert.
Das ist jedoch unsicher uns sollte nur dann verwendet werden, wenn allen Backend-Benutzern zu 100% vertraut wird.

Gruß
Marco

Das möchte ich aus Sicherheitsgründen absolut vermeiden, aber würde vermutlich funktionieren, stimmt. Ich teste es vielleicht mal aus Forschungszwecken später in einer lokalen Installation. Eine Lösung wär's allerdings natürlich keine, da müsste ich mir dann eher einen anderen Workaround für das custom insert tag überlegen.

Frage bleibt noch, ob das absichtlich passiert. Also halt "Bug" oder "Feature"

**dhe** · 05.08.2022, 08:09

ok, dann wird im "HTML" Element alles in Entities umgewandelt (Sicherheitshalber), wobei es wohl ausnahmen bei den "hauseigenen" Insert Tags gibt.
Da fällt mir auf die Schnelle eigentlich nur ein, dass man die eigenen Insert Tags so umbaut, dass im eigenen Controller die HTML-Entities wieder zurückgewandelt werden.

PHP-Code: