Тестовый пост (создадим множественные ситуации)
Регистрация Войти

Тестовый пост (создадим множественные ситуации)

Ванилла форум

<iframe width="720» height="405» src="https://rutube.ru/play/embed/ddadfc2234e99fe392ca38cb7f473d95» frameBorder="0» allow="clipboard-write» webkitAllowFullScreen mozallowfullscreen allowFullScreen></iframe>

Давайте создадим самую ужасную ситуацию :) связанную с тем, что на фрагмент (который выводится на центральный) мы повесим iframe, загрузим парсер смайлов и зальем картику, плюс добавим и превью. А далее разместим вредоносный скрипт (он на следующей строке).

А далее, будет текст собственно самого поста. Где мы проверим видео с YouTub (выше было с RuTube)

<iframe width="560» height="315» src="» title="YouTube video player» frameborder="0» allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture» allowfullscreen></iframe>

2 ссылки внешние (с простановкой nofillow) и из белого списка (без nofillow):

Смайл тут: ➕

<details title="Проверим Спойлер">
Просто текст проветки… Хотя…

О сколько нам открытий чудных…
</details>

<details title="Закроем Спойлер» tl>
Просто текст проветки 2 Закрытый Спойлер…

Спойлер 2 — Спойлер…
</details>

Так, пока достаточно… Контл+F5 чтобы оновить css надо… А то видео будет вылазить за пределы. Я поставил в коде поделиться ошибочный размер, самый большой, чтобы и тут посмотреть ситуацию.

В общем задача в этом посте воспроизвести все неправильно.

Что изменено.

  • Переход на HTMLPurifier
  • Удаление parsedown-extra и parsedown-extra-plugin
  • Разрешим парсинг смайтов.
  • Разрешим загрузку вставок к YouTub, RuTube с любых, что разрешает HTMLPurifier и Content Security Policy.
  • Исправим смену автора поста при редактиорвание его админом.
  • Исправим отображение TL поста, если пост для TL1 и выше.
  • Добавим недостающие строки для локализации.
  • Введем кеширование постов в ленте и на детальной странице (чтобы облегчить парсинг).
  • Исправим показ смайлов при различных ситуациях.
  • Введем маштрабирование iframe если даже выбраны ошибочные размеры.

И т.д. множественные изменения и улучшения. Спасибо за тестирование!

HTMLPurifier введен, а это значит, что редакторов может быть много. И можно будет работать не только с Markdown разметкой, но и более привычной. Т.к. на всем сайте стала другая фильтрация.

LibArea Веб-разработка
9
352
+ Читать

2 Ответа

  1. Я тут. На центральной чисто показывает, что сделано?

    1
    Ответить

    1. Написал в посте, надо писать. Спасибо, что подсказали.

      Ответить