Предлагаю задуматься

Главные вкладки

Аватар пользователя rapitosov@drupal.org rapitosov@drupal.org 16 января 2007 в 14:32

о том, что давать пользователям права на публикацию статей с приложением файлов .html глупость того же ранга, что и давать возможность включать в публикации PHP код.

Комментарии

Аватар пользователя rapitosov@drupal.org rapitosov@drupal.org 16 января 2007 в 15:58

Если кто-то захочет скачать этот файл, то увидит его как страничку из того же домена, что теоритически позволит задействовать XSS.

---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы

Аватар пользователя axel axel 16 января 2007 в 17:04

Спасибо, что обратил внимание. Запретил атачи в html для пользователей (редактора, power users по-прежнему могут добавлять html).
В power users предполагается автоматически перемещать пользователей зарегистрировавшихся давно (скажем больше года) и имеющих в наличии несколько десятков постов - некоторая гарантия адекватности )

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

Аватар пользователя rapitosov@drupal.org rapitosov@drupal.org 16 января 2007 в 17:23

Помещать автоматически стоит в некоторую промежуточную группу, а в группу с такими правами только вручную, по запросу, по аналогии с регистрирацией новых проектов на drupal.org.

Публиковать HTML не так уж важно, если есть возможность спрятать его в архив.

---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы