Soweit ich das überblicke, werden die hochgeladenen HTML-Dateien einfach als normale Dateien heruntergeladen (z. B. Archive oder PDFs). Ob sie geöffnet werden, liegt also beim Benutzer und in den Browsereinstellungen (z. B. automatisches Öffnen nach dem Download, …).
In diesem Thema wird jedoch etwas im Zusammenhang mit XSS erwähnt…
Meines Wissens nach besteht keine Möglichkeit, von der heruntergeladenen Datei aus mit der Discourse-Seite zu interagieren?
Das Schlimmste, was passieren kann, ist also, dass einige Phishing-Inhalte angezeigt werden.
Aus genau demselben Grund, aus dem du Phishing-Links in einer Community nicht möchtest?
Discourse ist kein Direktnachrichten- oder Dateispeicherdienst. Warum solltest du es also nur nutzen, um das Herunterladen von HTML-Dateien zu ermöglichen? Sicherlich ist es besser, Code an einem Ort wie GitHub unterzubringen.
Manchmal ist es praktischer, einfach HTML hochzuladen, das ein einfaches Problem oder Ähnliches zeigt. Wenn es sich nur um eine einzelne Datei handelt, führt das Einpacken in ein ZIP-Archiv nur zu unnötigen Schwierigkeiten.
Das Forum richtet sich hauptsächlich an Entwickler, sodass man davon ausgehen kann, dass diese wissen, was sie tun, wenn sie die heruntergeladene Datei öffnen. Sie werden Phishing-Versuche erkennen, keine Passwörter eingeben, dies schnell melden usw.
Die einzige Sorge ist also, ob es möglich ist, beim Hochladen von HTML-Dateien (im Vergleich zu ZIP-Archiven mit HTML-Dateien) Schwachstellen wie XSS oder andere auszunutzen.
Aus persönlicher Präferenz ziehe ich es vor, überhaupt keine Dateien herunterladen zu müssen. Ich würde es lieber vorziehen, den Code direkt im Beitrag zu sehen. Meine Frage ist also…
Gibt es einen Grund, warum das HTML nicht direkt in den Beiträgen als Code-Block hinzugefügt wird?
<section>
<h1>Einführung</h1>
<p>Menschen fischen seit vor der aufgezeichneten Geschichte nach Nahrung…</p>
</section>
<section>
<h1>Ausrüstung</h1>
<p>Das erste, was Sie benötigen, ist eine Angelrute oder ein Angelstock, der sich für Sie bequem anfühlt und stark genug für die Art von Fisch ist, den Sie zu fangen hoffen…</p>
</section>
...
Auf diese Weise ist es sofort sichtbar, erfordert keine herunterladbaren Dateien und nimmt im Beitrag nicht viel Platz ein – da wir bei Code-Blöcken über einer bestimmten Höhe Scrollbalken erzwingen. Außerdem gibt es 0 Sicherheitsrisiken, da es überhaupt nicht geparst wird.
Ich kann dies näher erläutern, wenn diese Lösung für Sie in Frage kommt.
Ja, ich stimme zu, dass es normalerweise besser ist, es so zu machen. Manchmal bevorzugen Leute jedoch, Dateien anzuhängen, z. B. wenn sie zu groß sind oder wenn sie ein visuelles Problem zeigen möchten (das ist einfacher, als es in eine neue Datei zu kopieren, usw.).
