HTML sanitizer - Mit 6.5 kann ich keinen Text mehr im </> Quellcodemodus eingeben

Moin Moin,

ich habe jetzt auch mal mit Shopware 6.5.4.1 getestet.

Nach dieser Anleitung HTML sanitizer - Shopware Developer habe ich mal die Datei z-shopware.yaml angelegt und auf den Server gestellt.

Wenn ich jetzt:

shopware:
    html_sanitizer:
        enabled: false

verwende, kann ich z.B: in den Erlebniswelten Text über den Texteditor dort auf </>(Quellcode) normalen Text eingeben (noch kein speziellen Code).

ändere ich aber die Datei z-shopware.yaml in:

shopware:
    html_sanitizer:
        sets:
            -   name: basic
                tags: [ "img" ]
                attributes: [ "src", "alt", "style" ]
                options:
                    - key: HTML.Trusted
                      value: true
                    - key: CSS.Trusted
                      value: true

dann kann ich keinen Text mehr eingeben nur noch im normalen Editormodus nicht einmal z.B. TEST:

Alle Eingaben im Quellcode Modus werden ignoriert.

Muss ich noch irgendwo einen Schalten umlegen?

Danke für Infos.

Karlos

Die Einstellungen beziehen sich (meinem Wissen nach) nur auf PHP, welches im Core ausgeführt wird. Der Editor is JavaScript, da sollte noch alles möglich sein. Erst beim Speichern wird es im Core gefiltert.

Falls es also wirklich schon am Editor liegt, dann wird der Fehler ggf. woran anders liegen.

Moin,
ich bin verwirrt, in der 6.5 wird doch durch den Html Sanitizer nicht erwünschter Code aus den Textfeldern z.B. in den Produkten, Erlebniswelten u.s.w. gelöscht. Geht auch in diesem Beitrag darum:

Text Editor “bereinigt” Quellcode und entfernt Bilder (img-Element)

Ich kann ja was eingeben wenn ich den ganz deaktiviere, aber davon wird ja abgeraten wegen Sicherheitsbedenken. Wir haben z.B. in jedem Produkttext Tabellen die dann in 6.5 rausgefiltert werden bei einer Änderung.

Richtig, der Sanitizer filtert.

Aber nicht im Editor selbst, sondern erst nachdem auf Speichern geklickt wurde. Dann wird der übermittelte Code im Core bereinigt und an die Administration zurück gegeben.

Daher ist es seltsam, dass im Browser der Code nicht eingegeben werden kann.

Moin,

ich habe noch mal etwas mit der 6.5.4.1 getestet.

Erst einmal die Version neu aufgesetzt. Vorher alles gelöscht Ordner und DB.

Wenn ich jetzt in z.B: der Erlebniswelt einen Text anlege dann in den Editor auf Quellcode. Jetzt kopiere ich z.B. das:

<div class="mw-mmv-image"><img src="https://upload.wikimedia.org/wikipedia/commons/thumb/9/95/SW_Testbild_auf_Philips_TD1410U.jpg/800px-SW_Testbild_auf_Philips_TD1410U.jpg" class="mw-mmv-final-image jpg mw-mmv-dialog-is-open" alt="undefined" width="698" height="800" /></div>

und das:

<table width="100%" border="0" cellspacing="0" cellpadding="0">
  <tbody>
    <tr>
      <td>HALLO</td>
    </tr>
    <tr>
      <td>DU</td>
    </tr>
  </tbody>
</table>

hinein. Wenn ich jetzt einfach im Editor auf „Fertig“ klicke übernimmt er den Inhalt nicht.

Wenn ich aber nach dem einfügen, über den Editorbereich (Pfeil) )klicke erscheint das:

und der Inhalt wird übernommen.

Sollte das eigentlich so nicht funktionieren?

Dafür gab es doch diese Funktion mit der z-shopware.yaml

Whitelisting

Ich bin verwirrt.