Hast du das im Issue Tracker gemeldet? Scheint mir ein Bug zu sein.
Funktioniert dies auch bei den Textbausteinen?
Hallo AdrianH,
kommt das PlugIn auch für die aktuelle SW6-Version und ist es nur für die Erlebniswelt oder auch für Textbausteine gedacht?
Hat jemand einen Weg gefunden um onclick-Attribute zu erlauben? So kommt leider folgende Fehlermeldung.
shopware:
html_sanitizer:
sets:
- name: basic
tags: ["img", "span", "script", "a"]
attributes: ["src", "alt", "id", "type", "onclick"]
options:
- key: HTML.Trusted
value: true
- key: HTML.SafeEmbed
value: true
- key: HTML.SafeObject
value: true
- key: Attr.EnableID
value: true
Ich kann leider nicht auf 6.5.3 aktualisieren um den Sanitizer komplette auszustellen.
@dneustadt Hast du als Experte auf dem Gebiet vielleicht eine Idee?
Danke und viele Grüße
Tom
Ich sag mal Danke.
Ist zwar noch nicht offiziell für 6.5.6, aber läuft prima, wenn ich die Anforderung 6.5.6 in der json setze.
Mit dem Update auf 6.5.6.1 klappt es nämlich bei uns plötzlich nicht mehr über die yaml.
Hallo,
danke für deine Hinweise.
Grundsätzlich halte ich den „Sanitizer“ auch für ein sinnvolles Feature, besonders im Bezug auf die Sicherheit. Leider sind wir aber darauf angewiesen auch eigenen Code einzubinden. Auch individuelle Design-Änderungen via Bootstrap liesen sich auf diesem Weg bisher einfach und schnell lösen. Wie ist dies denn alternativ möglich ohne den „Sanitizer“ zu deaktivieren?
Hast du vielelicht eine Idee oder einen Weg für uns?
Wir haben hierfür nun auch das Plugin - welches weiter oben bereits in den Kommentaren erwähnt wurde - verwendet.
Zumindest innerhalb der Erlebniswelten kann man somit den Sanitizer ein wenig umgehen.
Danke für die schnelle Meldung.
Ja, Moori " HTML Erlebniswelten Element mit Twig Compiler" hatten wir in der Vergangenheit auch schon in Verwendung.
Leider war das Plugin auf lange Sicht fehlerbehaftet → es wurden Inhalte gelöscht oder waren im Backend plötzlich nicht auffindbar und es blieben Restdateien zurück, welche zu weiteren Fehlern in der Darstellung führten. Damals haben wir auch mit den Entwicklern geschrieben und Phasenweise konnten die Herausforderungen durch updates behoben werden (der Support war übrigens super). Da aber nicht auf Dauer, haben wir das Plugin mittlerweile wieder entfernt und nutzen den Editor.
Nun bin ich misstrauisch, wieder viel Zeit und Arbeit zu investieren um dann in einem Jahr alles wieder erneut zusammenbauen zu müssen. Vielleicht wurden unsere Herausforderungen von damals aber mit den Updates des PLugins " HTML Erlebniswelten Element mit Twig Compiler" der letzten 2 Jahre behoben.
→ Thema kommt heute erst auf, da wir unseren Shop noch bauen und bis heute mit dem Update auf 6.5. gewartet haben.
Was bedeutet „Zumindest innerhalb der Erlebniswelten kann man somit den Sanitizer ein wenig umgehen.“? Welche Herausforderungen bleiben denn bestehen? Wird der Code auch nicht vollständig übernommen?
Beste Grüße
Wir sind mit unserem SW6.5 Shop aktuell auch noch nicht produktiv unterwegs.
Sind gerade dabei das Go-Live vorzubereiten.
Wir haben das jetzt mal als kurzfristige Lösung hergenommen, da ich es bisher nicht geschafft habe die ganzen Optionen (Data-Attribute, Bootstrap Elemente wie Accordion, YouTube Lite Einbindung und weitere Sachen) über die Ausnahmeregelungen freizugeben.
So intensiv haben wir das Plugin bisher nicht verwendet (sondern nur mal grob getestet ob wir unsere Inhalte damit einbauen können) um beurteilen zu können wir problembehaftet das Plugin sein könnte.
Mit „zumindest in der Erlebniswelt“ meinte ich, dass wir teilweise auch in der Artikelbeschreibung gerne Elemente verwenden würden (z.B. Bootstrap Accordion) welche vom Sanitzer herausgefiltert werden. In den Erlebniswelten können wir solche Themen aber mit dem Plugin nun einbauen.
Okay, danke für die Info.
An einer ähnlichen Stelle befinden auch wir uns. Leider hatte ich viel mit Bootstrap gebaut (ebenfalls Accordion, Cards oder auch Designanpassungen), was jetzt eben alles nicht mehr funktioniert bzw. durch den Sanitizer einfach weg reduziert wurde. Damit schiebt es unseren Livegang nochmal deutlich nach hinten. So ärgerlich 
Wir werden es wohl nochmal mit Moori versuchen. Verstehe ich euch richtig? Trotz des aktiven Sanitizer´s bleibt über die Erweiterung der Code in der Erlebniswelt erhalten? Der Sanitizer greift also nur auf Shopware eigene Blöcke zu?
So weit ich bisher von den Kollegen die das Plugin getestet hatten gehört habe, lassen sich dadurch nun Accordions, Script-Tags, iFrames usw., in Erlebniswelten einbauen über das Plugin Element ohne dass hier der Sanitizer greift und diese herausfiltern würde.
EDIT: Ja richtig, der Sanitzer selbst ist bei uns im System aber weiterhin aktiv.
1 „Gefällt mir“
Es kann aber (bei allem Wohlwollen für Sicherheit) nicht sein, dass ich meinen gesetzlichen Pflichten nicht mehr nachkommen kann, weil ein Shopsystem (bzw. deren Entwickler) gerne wissen möchten, was gut für mich ist.
Soll es per Default gerne gesperrt sein - aber wenn ich eine Option aktiviere, dann MUSS ich in der Lage sein, iframe, script & Co in meinen Text einzubauen.
Mein Beispiel:
Der Opt-Out Code von Matomo muss dem Kunden (so ist die Gesetzeslage) angeboten werden. Dafür muss ich in meiner Datenschutzerklärung (in diesem Fall ein „script“-) Tag einbauen. Geht aber nicht.
Ich entwickel selbst Software und kenne den Spagat und den Ärger. Den Kunden bevormunden ist eine Sache und jeder sieht die Grenze hier anderenorts … aber hier wird von den Entwicklern nicht weit genug gedacht. Es gibt Anwendungen, bei denen man solche Tags braucht.
Und ganz unterm Strich: Es ist mein Shop. Im Endeffekt hafte ich sowoeso dafür - ob Shopware nun ein Tag sperrt oder nicht.
1 „Gefällt mir“
Zu dem Thema habe ich auch noch eine „interessante“ Entdeckung gemacht.
In den E-Mail Templates kann man im Template für die Kopf- und Fußzeilen die CSS Eigenschaft „border-radius“ nicht inline einbinden, diese wird beim speichern entfernt. Alle anderen Eigenschaften scheinen zu funktionieren. In den normalen E-Mail Templates kann man diese ohne Probleme einbinden und wird auch gespeichert.