Input Format - Filtered - разрешить "style" аттрибут. | Drupal.ru

Главные вкладки

likin 28 июня 2012 в 14:06

Доброго дня.
Использую Input Format - Filtered.
Необходимо удалять теги, точнее пропускать разрешённые.
Стала необходимость редактировать текст(Добавить цвет).
Заметил, что режуться все аттрибуты, кроме class.
Мне необходимо пропустить аттрибут style.
Или это уже небезопасно с точки зрения XSS?

Спасибо.

Комментарии

Shok211 28 июня 2012 в 15:49

Не безопасно.

  <div style="position:fixed; top:0; right:0; height: 250%; widht: 250%; background: black;">Hello</div>

Закроет страницу полностью.
Самый простой пример.

zil.arman 28 июня 2012 в 18:18

Есть такой модуль - Wysiwyg Filter, он позволяет пропустить свойства стилей и контролировать для каких элементов какие стили будут доступны.

Иными словами, вы, например, можете включить только свойство 'background-color' и только для тэга 'p' и/или 'a'.

likin 28 июня 2012 в 19:07

Спасибо.

Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.

Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code

Drupal – торговая марка Дриса Бёйтарта

12+

Поддерживать инфраструктуру Drupal.ru нам помогает компания ДАЛЕЕ