Re: Monitoring html in Grundzüge erlauben?

Oliver Hader fff at oliver.hader.name
So Jan 3 10:27:29 CET 2016


Hallo Christian,

Am 03.01.16 um 10:07 schrieb Christian Dresel:
> wäre es evtl. möglich im Monitoring in der Routerbeschreibung ein paar
> html Codes zu erlauben? Z.b.
> <br />
> <a href...>
> evtl. auch:
> <b>
> <i>
> <u>
> 
> Würde das ganze etwas verschönern:
> 
> https://netmon.freifunk-franken.de/router.php?router_id=1898
> vs.
> https://monitoring.freifunk-franken.de/routers/5664399b44ce6e0307512960

Die Möglichkeit, strukturiertere Angaben in der Beschreibung des eigenen
Routers hinterlegen zu können, halte ich für eine gute Idee.

Allerdings stellt sich eine Filterung auf reiner HTML/DOM-Basis als
schwierig dar, um Cross-Site-Scripting auszuschließen. Hierbei müssten
dann alle erlaubten HTML-Tags und Attribute in eine Whitelist
aufgenommen werden, was schnell umfangreich und unübersichtlich werden
könnte.

Eine geeignetere Variante stellt eine Notation in Markdown dar, bei der
reine HTML Tags nicht erlaubt sind, und nur einfache Pseudocodes in
einem zweiten Schritt in HTML transformiert werden.

So wäre sichergestellt, dass die Monitoringansicht weiterhin gegenüber
XSS gesichert ist.

Viele Grüße
Oliver



Mehr Informationen über die Mailingliste franken-dev