Hi,
I’d like to customize the reply/embedded-post. This requires a modification to the _computeCooked method in post-cooked via a plugin; essentially when this.attrs.embeddedPost is true, render something else.
I noticed it’s easier to override or reopen ‘conventional’ Ember classes or the widgets created using ‘createWidget’. What would be the best way to achieve this for the PostCooked class?
¿Lograste encontrar una solución para esto? Me alegraría mucho si pudieras compartirla.
¿No es suficiente api.decorateCooked?
No estoy seguro. Todavía no lo he revisado. Quiero reemplazar
discourse/app/assets/javascripts/discourse/app/widgets/post-cooked.js at eab560fe2aa9053f6d227d29ec6c1ad0939ea940 · discourse/discourse · GitHub
_computedCooked por categoría.
Quiero reemplazar
cookedDiv.innerHTML = this.attrs.cooked;
con contenido personalizado según la categoría. Pero tiene sentido. Esto también debería ser posible con decorateCooked. Después de leer un poco, parece que decorateCookedElement podría ser el adecuado, ya que no quiero usar jQuery. ¡Muchas gracias 
Después de estar un día probando cosas, di con esta respuesta.
Parece que fue un esfuerzo inútil y que debo tomar otro camino.
Cuando asigno a elem.innerHTML <script>alert(1)</script>, se desencripta: (veo que, mientras lo escribo en el editor, si lo escribo sin escapar, se elimina en la vista previa). ¿Es esto un problema o lo detendrá la CSP?
Los mensajes que incluyen etiquetas script como parte de una explicación también parecen generar estos errores de CSP. Ahora estoy realmente confundido. ¿Debo preocuparme por el XSS almacenado o la CSP simplemente lo bloqueará? En el editor uso CKEditor, que previene el self-XSS. Si tengo que preocuparme, parece que necesito eliminar las etiquetas inseguras. Por ahora solo hago:
value = Loofah.fragment(value).scrub!(:escape).to_s
pero parece no tener ningún efecto, ya que asignar este valor a elem.innerHTML simplemente desencripta las entidades HTML.
EDITO: Finalmente encontré la fuente de mi confusión: “Inspeccionar elemento” no muestra el HTML real; ya convierte las entidades HTML.
Si haces clic en “Editar como HTML” en el inspector, queda claro que todo está en realidad bien. Ver etiquetas que no son visibles renderizadas debería haberme indicado esto desde el principio.
