Ergebnis 1 bis 28 von 28

Thema: HTML-Element ändert sich beim Speichern

  1. #1
    Contao-Fan Avatar von Zille
    Registriert seit
    23.12.2015.
    Beiträge
    570

    Standard HTML-Element ändert sich beim Speichern

    In ein HTML-Element trage ich folgendes ein:
    HTML-Code:
    <div class="embed-container"><iframe scrolling="no" frameborder="0" src="files/content/dw/1300-220-1/index.html">1300-220-1</iframe></div>
    nach dem Speichern steht nur noch:
    HTML-Code:
    <div class="embed-container"><iframe>1300-220-1</iframe></div>
    was selbstverständlich nicht mehr funktioniert.

    Wie kommt es zu dieser Änderung?!

  2. #2
    Contao-Nutzer
    Registriert seit
    26.10.2012.
    Beiträge
    93
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Vermutlich durch ein Update auf eine der Contao-Versionen 4.11.7, 4.9.18 oder 4.4.56.

    Welche HTML-Attribute erlaubt sind kannst du unter System › Einstellungen › Sicherheitseinstellungen › Erlaubte HTML-Attribute festlegen.

    Wenn du Alles erlauben willst kannst du für das Element * als Attribut * einstellen.
    WICHTIG: Das solltest du jedoch nur dann machen wenn du allen Backend-Benutzern zu 100% vertrauen kannst.

  3. #3
    Contao-Fan Avatar von Zille
    Registriert seit
    23.12.2015.
    Beiträge
    570

    Standard

    Zitat Zitat von ausi Beitrag anzeigen
    Vermutlich durch ein Update auf eine der Contao-Versionen 4.11.7, 4.9.18 oder 4.4.56.
    Richtig, es ist ein Update auf 4.11.7

    Welche HTML-Attribute erlaubt sind kannst du unter System › Einstellungen › Sicherheitseinstellungen › Erlaubte HTML-Attribute festlegen.
    Klar, <iframe> ist unter erlaubte HTML-Tags eingetragen.

    Wenn du Alles erlauben willst kannst du für das Element * als Attribut * einstellen.
    WICHTIG: Das solltest du jedoch nur dann machen wenn du allen Backend-Benutzern zu 100% vertrauen kannst.
    Da ich der einzige Bearbeiter bin, mir auch zumeist vertraue, wäre das wohl kein Problem. Dennoch scheint es irrelevant, da doch <iframe> bereits eingetragen ist.

    Was übersehe ich?!

  4. #4
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.198
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Du musst auch die innerhalb eines iframe-Tag verwendbaren Attribute freigeben. Dein freigegebenes iframe-Tag ist ja drin geblieben, aber die Attribute wurden rausgelöscht. Ich habe nirgends iframes, kann dir aus dem Kopf deswegen nicht sagen, wie das genau auszusehen hat. Aber es gibt ältere Threads dazu, daran kann ich mich jedenfalls erinnern. Kann es sein, dass die ganzen erlaubten Tags mal bei einem Update verlorengegangen sind und nur das iframe-Tag ohne Attribute wieder aufgenommen wurde?

  5. #5
    Contao-Nutzer
    Registriert seit
    26.10.2012.
    Beiträge
    93
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Die Einstellung für erlaubte HTML-Attribute gibt es erst seit heute mit den Contao-Versionen 4.11.7, 4.9.18 und 4.4.56.

  6. #6
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.198
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hmm, ich war der Meinung da hätte man schon zu Zeiten von Contao 3 hier drüber geschrieben. Vielleicht verwechsele ich da auch was, ist schon Jahre her. Muss ich morgen mal ein wenig suchen hier im Forum.

  7. #7
    Contao-Fan Avatar von Nightwing
    Registriert seit
    29.05.2013.
    Beiträge
    436

    Standard

    Zitat Zitat von tab Beitrag anzeigen
    Vielleicht verwechsele ich da auch was [...]
    Jub, deswegen extra grad mal nachgesehen in der neuen Version, aber an sich isches logisch: HTML Tag (altbekannt) != HTML Attribut (neue Einstellmöglichkeit)
    Siehe Bild, man lernt nie aus: tag_vs_attr.PNG

    ToM

  8. #8
    Contao-Fan Avatar von Zille
    Registriert seit
    23.12.2015.
    Beiträge
    570

    Standard

    Die Einstellung für erlaubte HTML-Attribute gibt es erst seit heute …
    Na toll, und da tapse ich 10 Minuten später ungewarnt rein.

    Nuläuftswieder.

  9. #9
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    ist das in der 4.12 oder auch schon in 4.9 neu?!?

  10. #10
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    4.9.18

  11. #11
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    stand dazu irgendwas in irgendwelchen News oder so..?!?

  12. #12
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    "Prevent XSS via HTML attributes in the back end ([CVE-2021-35955])"

    Darum die Whitelist der Attribute.

  13. #13
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von lucina Beitrag anzeigen
    "Prevent XSS via HTML attributes in the back end ([CVE-2021-35955])"

    Darum die Whitelist der Attribute.
    Freunde der Nacht: ich glaube nicht, dass ein Großteil der "Redakteure" sich da durch die CVEs kämpfen um das in Erfahrung zu bekommen.

    Solche Sachen sollten etwas plakativer mitgeteilt werden IMHO

  14. #14
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Redakteure kämpfen sich im Regelfall überhaupt nicht durch CVEs.

    Ich würde das als zu meinen Job der Administratorin zugehörig begreifen.

    Und es ist ja auch noch die Frage, ob man ein potentiell gefahrvolles Element überhaupt freigeben muss, oder ob es nicht auch andere Lösungen dafür gibt.

    Beispiel: Ich habe ein System, bei dem Menschen regelmässig iFrames einzubauen hatten. Da ich das nicht hinnehmbar fand haben die nun ein Contentelement bekommen, bei dem sie URL und ein paar Parameter in Felder eintragen dürfen. Funktioniert auch, macht keine Arbeit, spart Rückfragen und ist obendrein sicherer.

  15. #15
    Contao-Fan
    Registriert seit
    30.06.2009.
    Beiträge
    370

    Standard

    Schon mal daran gedacht was diese Änderungen an erlaubten Attributen für einen Aufwand für bestehende Installationen bedeuten kann? Auch Contao steht im Wettbewerb zu anderen Systemen in Bezug auf die Kosten für die Umsetzung. Das wird immer schwieriger in Wartungsverträgen zu berücksichtigen.
    Servicepoint.de - Angebote, Empfehlungen und Dienstleistungen

  16. #16
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    Mir geht es nicht um sinvoll, notwendig oder was auch immer... sondern um die Kommunikation.

    Als "Admin" wäre mir das sicher auch erst auf die Füße gefallen, wenn Meldung vom Kunden "da geht wieder was nicht.." gekommen wäre.

    Bei MM werden soche Sachen per Migration abgefangen - wenn das nicht geht, kommt Meldung beim DB-Update auf Anpassungs/Check-bedarf - und/oder Hinweis im Handbuch+News.

  17. #17
    Community-Moderatorin & Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    7.080
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von servpoint Beitrag anzeigen
    Schon mal daran gedacht was diese Änderungen an erlaubten Attributen für einen Aufwand für bestehende Installationen bedeuten kann?
    Ich denke der Aufwand, der entsteht, wenn eine Installation gehackt wurde ist wesentlich größer.
    Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
    Unterstütze bitte das Contao-Projekt (Button Links)
    Weitere Spendenmöglichkeiten
    ------------------------------------------------------------------------------------------------------
    Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
    Contao-Online-Video-Kurse: Contao Academy
    Funktionalität erweitern: Contao-Erweiterungen

    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.




  18. #18
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.553
    User beschenken
    Wunschliste

    Standard

    Es hat ja niemand was gegen die neuen erlaubten Attributen, aber so ganz ohne Kommunikation für Normalsterbliche ist schon etwas krass.
    Wenn schon nicht im Vorfeld, dann eben in den Update News, in der Changelog oder so.
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  19. #19
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von BugBuster Beitrag anzeigen
    so ganz ohne Kommunikation für Normalsterbliche ist schon etwas krass.
    Das ist der Punkt!

  20. #20
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ich hatte das auch bereits gestern bei der News entsprechend kommentiert, bin aber nicht sicher, wann (und ob) das dort erscheint.

    Bei Security-Sachen ist das ja auch immer so ein latenter Tanz auf dem Seil. Wieviele Informationen gibt man? Welche Gefahren birgt das? Wen bringt das auf welche dummen Gedanken?

    Nichtsdestotrotz: Es macht mich auch ein wenig blass, dass anscheinend die wenigsten dann mal in den Code hineinschauen um a) das Risiko einzuschätzen und b) zu schauen, was das für ein eigenes System bedeutet.

  21. #21
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.925
    User beschenken
    Wunschliste

    Standard

    man kann das auch anders sehen - wie war das in der Marketing-Vorlesung: "Tue Gutes und rede darüber..."

    Wenn man tolle neue Features hat, dann kann man das auch gern an die "große Glocke" hängen.

    Ich "nerve" ja auch bei anderen Projekten die Leute ;-)

  22. #22
    Contao-Nutzer
    Registriert seit
    06.01.2011.
    Beiträge
    87

    Standard

    ... wie verhält sich das mit der Contao-Eigenen Anweisung

    <!-- indexer::stop -->
    ...
    <!-- indexer::continue -->

    im HTML-Code Modul? der komplette Code innerhalb dieser Anweisungen wird nicht ausgegeben...
    ... passiert erst nach Erneuten Speichern des Moduls, vielleicht ist deswegen noch nicht aufgefallen.
    wie kann ich dieses der White-List hinzufügen?
    ... habe bis jetzt keine Lösung gefunden. (außer es zu löschen, was aber nicht Sinn und Zweck sein sollte)

    EDIT: scheint sich generell um HTML Kommentare zu handeln a la: <!-- .... -->
    Geändert von albis (18.08.2021 um 10:13 Uhr)

  23. #23
    Contao-Nutzer
    Registriert seit
    26.10.2012.
    Beiträge
    93
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Kannst du bitte testen ob das Problem in der aktuellen 4.9.x-dev Version noch auftritt?

    Dort sollte das Problem durch folgenden Pull-Request bereits behoben worden sein: https://github.com/contao/contao/pull/3319

  24. #24
    Contao-Nutzer
    Registriert seit
    06.01.2011.
    Beiträge
    87

    Standard

    danke für die schnelle Rückmeldung! ... habe leider aktuell keine Entwicklungsumgebung um dies zeitnah testen zu können.

  25. #25
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Naja, die eine Zeile kannst Du ja auch mal von Hand einsetzen, oder?

  26. #26
    Contao-Nutzer
    Registriert seit
    06.01.2011.
    Beiträge
    87

    Standard

    OK hab es getestet.

    HTML Ausgabe bleibt erhalten aber zB HTML-Kommentare werden gewandelt als &lt;!-- test --> und somit (im Frontend) sichtbar ...
    Geändert von albis (18.08.2021 um 11:18 Uhr)

  27. #27
    Contao-Nutzer Avatar von Dillinja
    Registriert seit
    13.07.2009.
    Ort
    Dresden
    Beiträge
    114

    Standard

    Moin,

    ich hätte das als Feature erwartet und nicht als Bugfix, aber cool.

    Ich hab nur mit dem Script-Tag Probleme.

    HTML-Code:
    <script async>
    wird
    HTML-Code:
    <script async="">
    auch werden ', ", = zum Beispiel codiert...

    HTML-Code:
    <script async="">
    	var gMapsURL &#61; &#39;https://dev.domain.de/files/theme-files/script/gMaps.js&#39;;
    	//if(localStorage.getItem(&#39;fMaps&#39;) &#61;&#61; &#39;yes&#39;){
      	$.getScript(gMapsURL, function(){
      		googleMaps();
      	});
      //}
    </script>
    Wie könnte ich das zum Laufen bringen?

    Vielen Dank und viele Grüße
    Micha

    Edit: ich sehe, dass man dem schon auf der Spur ist... ;-) wahrscheinlich hier: https://github.com/contao/contao/pull/3315
    Geändert von Dillinja (19.08.2021 um 11:54 Uhr)

  28. #28
    Contao-Nutzer
    Registriert seit
    26.10.2012.
    Beiträge
    93
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Mit den aktuellen Entwicklungs-Versionen 4.9.x-dev sowie 4.11.x-dev sollten alle beschriebenen Fehler bereits behoben sein.

    Zitat Zitat von Dillinja Beitrag anzeigen
    HTML-Code:
    <script async>
    wird
    HTML-Code:
    <script async="">
    Diese Umwandlung des Attributes ist korrekt und wird auch von jedem Browser richtig verstanden.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •