Тестовый пост (создадим множественные ситуации)

<iframe width="720» height="405» src="https://rutube.ru/play/embed/ddadfc2234e99fe392ca38cb7f473d95» frameBorder="0» allow="clipboard-write» webkitAllowFullScreen mozallowfullscreen allowFullScreen></iframe>

Давайте создадим самую ужасную ситуацию связанную с тем, что на фрагмент (который выводится на центральный) мы повесим iframe, загрузим парсер смайлов и зальем картику, плюс добавим и превью. А далее разместим вредоносный скрипт (он на следующей строке).

А далее, будет текст собственно самого поста. Где мы проверим видео с YouTub (выше было с RuTube)

<iframe width="560» height="315» src="» title="YouTube video player» frameborder="0» allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture» allowfullscreen></iframe>

2 ссылки внешние (с простановкой nofillow) и из белого списка (без nofillow):

• https://yandex.ru
• https://libarea.ru

Смайл тут:

<details title="Проверим Спойлер">
Просто текст проветки… Хотя…

О сколько нам открытий чудных…
</details>

<details title="Закроем Спойлер» tl>
Просто текст проветки 2 Закрытый Спойлер…

Спойлер 2 — Спойлер…
</details>

Так, пока достаточно… Контл+F5 чтобы оновить css надо… А то видео будет вылазить за пределы. Я поставил в коде поделиться ошибочный размер, самый большой, чтобы и тут посмотреть ситуацию.

В общем задача в этом посте воспроизвести все неправильно.

Что изменено.

• Переход на HTMLPurifier
• Удаление parsedown-extra и parsedown-extra-plugin
• Разрешим парсинг смайтов.
• Разрешим загрузку вставок к YouTub, RuTube с любых, что разрешает HTMLPurifier и Content Security Policy.
• Исправим смену автора поста при редактиорвание его админом.
• Исправим отображение TL поста, если пост для TL1 и выше.
• Добавим недостающие строки для локализации.
• Введем кеширование постов в ленте и на детальной странице (чтобы облегчить парсинг).
• Исправим показ смайлов при различных ситуациях.
• Введем маштрабирование iframe если даже выбраны ошибочные размеры.

И т.д. множественные изменения и улучшения. Спасибо за тестирование!

HTMLPurifier введен, а это значит, что редакторов может быть много. И можно будет работать не только с Markdown разметкой, но и более привычной. Т.к. на всем сайте стала другая фильтрация.