16 января 2007 в 14:32
о том, что давать пользователям права на публикацию статей с приложением файлов .html глупость того же ранга, что и давать возможность включать в публикации PHP код.
Комментарии
А что, получается что-нибудь?
Если кто-то захочет скачать этот файл, то увидит его как страничку из того же домена, что теоритически позволит задействовать XSS.
---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы
Спасибо, что обратил внимание. Запретил атачи в html для пользователей (редактора, power users по-прежнему могут добавлять html).
В power users предполагается автоматически перемещать пользователей зарегистрировавшихся давно (скажем больше года) и имеющих в наличии несколько десятков постов - некоторая гарантия адекватности )
--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!
Помещать автоматически стоит в некоторую промежуточную группу, а в группу с такими правами только вручную, по запросу, по аналогии с регистрирацией новых проектов на drupal.org.
Публиковать HTML не так уж важно, если есть возможность спрятать его в архив.
---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы