Applaus
Walter Horstman - wo 03 okt 2007, 10:17
Hierbij stuur ik kjullie een probleempje (uitdaging?) waar ik gisteren al een paar uurtjes zoet mee ben geweest. Het probleem is dat ik een invoerveld wil hebben en daarin de gebruiker van de site enige opmaak wil laten intikken, maar het moet veilig blijven.
Al zoekende door Google, blogs, recipe books, etc. kwam ik op Textile, RedCloth, MarkDown en de Rails-helpers textilize() en textilize_without_paragraphs(). Dus ik dacht het antwoord gevonden te hebben, maar toch niet volgens mij. Ik merkte dat als ik teksten in tik als: “
Test
”, de “” en “
” gewoon doorgelaten worden. Dat lijkt me niet de bedoeling, want zo kan er gehacked worden door de gebruiker. RedCloth kent wat argumenten, zoals :filter_html, die mij doen vermoeden dat dit soort HTML dan wordt geweerd, maar mij lukte dat niet.Vervolgens ben ik eens bij “http://rubyenrails.nl”: http://rubyenrails.nl gaan kijken en heb ook enkele blogs van jullie gezien en zag dat jullie daar ook dergelijke velden hadden. Ik heb een beetje zitten testen (gelukkig boden ze alleen een preview optie) en zag dat ik bij sommige dingen als “test” kon doen. Vervolgens kreeg in in de preview een alert-box. Dat lijkt mij niet veilig.
Om de vraag concreet te maken, zijn er goede hulpmiddelen (best practices) waarmee ik een gebruiker de volgende opties kan geven:
- Cursief
- Onderstreept
- Vet
- Smilies (optioneel)
Welkom op Holland On Rails
Het startpunt voor Ruby On Rails in Nederland. Vind de laatste technieken, meningen en nieuwtjes.Recente Jobs
Die-Hard programmeur!
Houd jij van bowlen en The A-team? Kom dan bij ons werken! Wij ontwikkelen alleen maar in Rails, dus feest! Daarnaast hebben we Herman Miller stoelen!
(Zomaar een leuk project welke we gemaakt hebben: mijnopenid.nl)
@ Holder, Obdam
Stagiaires zijn welkom
voor opdrachten met leading edge open source technologiën. We bieden zorgvuldige en inhoudelijk goede begeleiding.
@ Agile Dovadi, Amsterdam
Bekijk alle jobs »»
Gereedschapskist
Onmisbare tools vooriedere developer!
- Ruby On Rails
Framework voor de web 2.0 developer. Eindelijk vooruitgang! - TextMate
Editor for true pro's
Typ, tab, top :-)
Nee, niet voor Win. - Made On A Mac
En nou is het over met die saaie grijze Windows bak van je!
Auteurs op deze site
Chris Obdam
'Less is more' evangelist, past dit ook dagelijks toe op zijn tandenborstel.Chiel Wester
Snelheidswonder op Ruby wielen. Leuk om mee te pair-programmen ;-)
Orne - zo 14 okt 2007
Whoops, moest & lt ; en & gt ; zijn (zonder spaties).
Zie voor de complete lijst:
http://www.webmonkey.com/reference/special_characters/
Orne - zo 14 okt 2007
Kun je het niet oplossen door met BBcode tags te werken [b]bold[/b], [u]underline[/u] etc…
Voor het parsen van de BB tags < en > vervangen door < en ≶ zodat de ingevoerde HTML tags gewoon zichtbaar worden als tekst en dus niet door de browser als HTML worden gezien.
Chris Obdam - wo 03 okt 2007
Dit is alleen textilize. Ik denk dat jij op zoek was naar een soort TinyMCE?
Walter Horstman - wo 03 okt 2007
Ik wilde eigenlijk een lichtgewicht edit boxje hebben met wat HTML mogelijkheden, maar dan in een ander formaat. Dat is wellicht niet slim. Ik kan dan beter white list gebruiken, begrijp ik nu. En ik hoef voor dit geval niet echt een WYSIWYG-editor te zien op de site.
Begrijp ik het goed als Textile gewoon een ander formaat is om HTML-opmaak uit te genereren?
Overigens is mijn post aardig in de war geraakt zie ik. En de test met de alert werkt zelf in de post. Dat is toch op zich niet de bedoeling? Dus deze site lijkt mij dan ook problemen te kunnen hebben met javascript insertion. Of zie ik dat verkeerd?
Leon Berenschot - wo 03 okt 2007
Hello leute!
Op deze pagina wordt whitelisting voorgesteld, misschien is dat wat?
http://www.rorsecurity.info/2007/05/29/controller-user-input-validation/
Just my 2c
-Leon
Chris Obdam - wo 03 okt 2007
HTML code wordt denk ik in ieder geval niet weer gegeven.. :-)
Plaats je reactie