Wie überschreibe ich eine Methode in post-cooked.js.es6 in einem Plugin?

sachinsiby · 17. Juni 2019 um 21:15

Hi,

I’d like to customize the reply/embedded-post. This requires a modification to the _computeCooked method in post-cooked via a plugin; essentially when this.attrs.embeddedPost is true, render something else.

I noticed it’s easier to override or reopen ‘conventional’ Ember classes or the widgets created using ‘createWidget’. What would be the best way to achieve this for the PostCooked class?

spirobel · 27. Juni 2020 um 08:30

Hast du eine Lösung dafür gefunden? Ich wäre sehr dankbar, wenn du sie teilen könntest.

fzngagan · 27. Juni 2020 um 08:32

Reicht api.decorateCooked nicht aus?

spirobel · 27. Juni 2020 um 08:36

Ich bin mir nicht sicher. Ich habe mich noch nicht damit befasst. Ich möchte

github.com/discourse/discourse

app/assets/javascripts/discourse/app/widgets/post-cooked.js

eab560fe2


      
                      return true;
                    }
                    this._toggleQuote($aside);
                  });
                  $title.data("has-quote-controls", true);
                }
              }
            });
          }
          
          _computeCooked() {
            const cookedDiv = createDetachedElement("div");
            cookedDiv.classList.add("cooked");
          
            if (
              (this.attrs.firstPost || this.attrs.embeddedPost) &&
              this.ignoredUsers &&
              this.ignoredUsers.length > 0 &&
              this.ignoredUsers.includes(this.attrs.username)
            ) {
              cookedDiv.classList.add("post-ignored");

_computedCooked nach Kategorie ersetzen.
Ich möchte

cookedDiv.innerHTML = this.attrs.cooked;

durch benutzerdefinierten Inhalt ersetzen, der von der Kategorie abhängt. Das ergibt aber Sinn. Das sollte auch mit decorateCooked möglich sein. Nach etwas Recherche scheint decorateCookedElement die richtige Option zu sein, da ich kein jQuery verwenden möchte. Vielen Dank

spirobel · 28. Juni 2020 um 07:57

Nach einem Tag Herumprobieren bin ich auf diese Antwort gestoßen.

Es scheint, als wäre das eine verschwendete Mühe gewesen, und ich muss einen anderen Weg gehen.
Wenn ich elem.innerHTML auf <script>alert(1)</script> setze, wird es unescaped: <script>alert(1)</script> (ich sehe im Composer, dass es in der Vorschau entfernt wird, wenn ich es unescaped eingebe). Ist das ein Problem, oder wird CSP es stoppen?
https://meta.discourse.org/t/mitigate-xss-attacks-with-content-security-policy/104243!csp error|690x191

Beiträge, die Skript-Tags als Teil einer Erklärung enthalten, scheinen ebenfalls diese CSP-Fehler auszulösen. Ich bin jetzt wirklich verwirrt. Muss ich mir überhaupt Sorgen um gespeicherte XSS-Angriffe machen, oder blockiert CSP sie einfach? Im Composer verwende ich CKEditor, was Self-XSS verhindert. Wenn ich mir Sorgen machen muss, scheint es, als müsste ich unsichere Tags entfernen. Im Moment mache ich das so:

  value = Loofah.fragment(value).scrub!(:escape).to_s

, aber es scheint überhaupt keine Wirkung zu haben, weil das Setzen von elem.innerHTML auf diesen Wert die HTML-Entitäten einfach wieder unescaped.

EDIT: Ich habe endlich die Quelle meiner Verwirrung gefunden: Die Inspektion des Elements zeigt dir nicht das echte HTML. Es wandelt HTML-Entitäten bereits um.

Wenn du im Inspector auf „Als HTML bearbeiten

Thema		Antworten	Aufrufe
How to render decorated cooked post content in a template General	0	564	19. September 2021
Trying to replace / auto-format strings in user posts Development	4	414	13. November 2023
How to decorate a post before it's cooked? Development	4	978	5. März 2021
Customize template used by post widget Development	1	1849	14. September 2018
How to correctly listen on post-stream update Development	6	1071	10. Dezember 2025

Wie überschreibe ich eine Methode in post-cooked.js.es6 in einem Plugin?

Verwandte Themen