I’d like to customize the reply/embedded-post. This requires a modification to the _computeCooked method in post-cooked via a plugin; essentially when this.attrs.embeddedPost is true, render something else.
I noticed it’s easier to override or reopen ‘conventional’ Ember classes or the widgets created using ‘createWidget’. What would be the best way to achieve this for the PostCooked class?
بمحتوى مخصص يعتمد على الفئة. لكن هذا منطقي. يجب أن يكون هذا ممكنًا أيضًا باستخدام decorateCooked. بعد القراءة قليلًا، يبدو أن decorateCookedElement هو الخيار الصحيح، حيث لا أريد استخدام jQuery. شكرًا جزيلاً
يبدو أن هذا كان جهدًا ضائعًا وأحتاج إلى اتباع مسار مختلف.
عندما أقوم بتعيين elem.innerHTML إلى <script>alert(1)</script>، فإنه يصبح غير مُشفَّر. (أرى أثناء الكتابة في المحرر أنه سيتم حذفه في المعاينة إذا كتبتُه غير مُشفَّر). هل هذه مشكلة أم أن سياسة أمان المحتوى (CSP) ستوقفها؟ https://meta.discourse.org/t/mitigate-xss-attacks-with-content-security-policy/104243!csp error|690x191
يبدو أن المنشورات التي تتضمن وسوم script كجزء من شرح ما تخلق أيضًا أخطاء CSP. أنا مشوش حقًا الآن. هل أحتاج إلى القلق بشأن ثغرات XSS المخزنة على الإطلاق، أم أن CSP ستحظرها ببساطة؟ في المحرر، أستخدم CKEditor الذي يمنع ثغرات self-XSS. إذا كنت بحاجة إلى القلق بشأنها، يبدو أنني بحاجة إلى إزالة الوسوم غير الآمنة. أنا أفعل فقط
value = Loofah.fragment(value).scrub!(:escape).to_s
في الوقت الحالي، لكن يبدو أنه لا تأثير له على الإطلاق لأن تعيين elem.innerHTML إلى هذه القيمة سيقوم فقط بإلغاء تشفير كيانات HTML.
تعديل: لقد وجدت أخيرًا مصدر إرباكي: فحص العنصر لن يُظهر لك HTML الحقيقي. إنه يحول كيانات HTML بالفعل.
إذا نقرت على “Edit as HTML” في أداة الفحص، يتضح أن كل شيء على ما يرام في الواقع. كان يجب أن يُوجهني بالفعل إلى هذا الاتجاه رؤية وسوم غير مرئية يتم عرضها.