Re: Monitoring html in Grundzüge erlauben?

So Jan 3 10:43:54 CET 2016

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Am 03.01.2016 um 10:27 schrieb Oliver Hader:
> Hallo Christian,
> 
> Am 03.01.16 um 10:07 schrieb Christian Dresel:
>> wäre es evtl. möglich im Monitoring in der Routerbeschreibung ein
>> paar html Codes zu erlauben? Z.b. <br /> <a href...> evtl. auch: 
>> <b> <i> <u>
>> 
>> Würde das ganze etwas verschönern:
>> 
>> https://netmon.freifunk-franken.de/router.php?router_id=1898 vs. 
>> https://monitoring.freifunk-franken.de/routers/5664399b44ce6e03075129
60
>
>> 
> Die Möglichkeit, strukturiertere Angaben in der Beschreibung des
> eigenen Routers hinterlegen zu können, halte ich für eine gute
> Idee.
> 
> Allerdings stellt sich eine Filterung auf reiner HTML/DOM-Basis
> als schwierig dar, um Cross-Site-Scripting auszuschließen. Hierbei
> müssten dann alle erlaubten HTML-Tags und Attribute in eine
> Whitelist aufgenommen werden, was schnell umfangreich und
> unübersichtlich werden könnte.

klar whitelist alles andere wäre ja ein
<script>alert("Sicherheitsrisiko XSS und blablabla");</script>
;)
Weiß jetzt nicht genau auf welche Scriptsprache Dominik setzt aber in
php wäre es mit einen einfach strip_tags($input, '<br><br/><a><b>');
getan.

> 
> Eine geeignetere Variante stellt eine Notation in Markdown dar, bei
> der reine HTML Tags nicht erlaubt sind, und nur einfache
> Pseudocodes in einem zweiten Schritt in HTML transformiert werden.

Also so wie in diversen Foren der BBCode? Wäre natürlich eine
alternative aber da das Zeug aktuell ja noch aus dem Netmon kommt,
würde es dann im Netmon bescheiden aussehen :/

mfg

Christian

> 
> So wäre sichergestellt, dass die Monitoringansicht weiterhin
> gegenüber XSS gesichert ist.
> 
> Viele Grüße Oliver
> 

- -- 
Kontaktmöglichkeiten ChristianD (Christian Dresel):
Jabber: christian at jabber.community
E-Mail: fff at chrisi01.de
Facebook: https://www.facebook.com/christian.chili
Handy/Whatsapp & Festnetz: auf Nachfrage
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=RA5p
-----END PGP SIGNATURE-----