全局通知中不允许使用 HTML

支持
1

本主题已由 Discourse 团队解决。为存档目的,我将保留原始主题,但此问题已由 @Roman 和团队解决。

我最近重建了 Discourse 以更新我的 SMTP 设置,现在我的全局通知中的 HTML 标签被直接渲染出来了。

带有标签时的效果如下:

欢迎来到新的 Real Racin' USA 赛车运动论坛!

您的祈祷和愿望已得到回应。

我们为您准备了一个更快、更新、更易用的论坛体验,并将旧论坛的所有内容迁移到了这里。您的所有主题、帖子和用户资料都完好无损,与您离开时一模一样!

请阅读我们的 “我想找回我的账号!” 帖子,以获取如何重新登录账号的说明。

如今尘埃基本落定,我们仍在检查该论坛,以确保其能正常为所有人服务。

如需获取论坛的所有更新及帮助,请访问 Sunshine State Racing 的 Facebook 页面

但重建后,我得到了以下内容:

image
image1135×158 13.5 KB

3

在最近的一次提交中,发现对全局公告进行了更改,导致此功能被禁用。

4

那么,现在有什么方法可以在全局通知中包含链接吗?

5

我的替代方案是发布帖子并将其置顶为横幅主题。

6

是的,我们不再允许全局公告站点设置包含 HTML,仅支持纯文本。我们选择将其视为其他用户输入并进行清理。

如上所述,变通方法是使用横幅主题。

7

太遗憾了,那确实很有用。

谢谢您的澄清。

8

嗯,这只是我的一点个人看法,但这两者的目的非常不同。

全局横幅的存在是有其用意的,例如当我希望就某个重要主题通知论坛时。如果用户关闭了该横幅,此设置会被保留,他们将无法看到本可通过全局通知可见的更新。

9

是的,我们决定保留该设置,因为我们知道在紧急情况下,一个不可关闭的横幅非常有用,但允许未经过滤的 HTML 可能存在潜在危险。

10

如果某人拥有设置全局通知的权限,那么他们也被允许创建主题组件吗?因此,这里不存在额外的攻击向量?

11

需要明确的是,我们不认为这是一个安全问题,因为只有管理员才能更新此设置。这是持续努力的一部分,旨在禁止在站点设置中使用 HTML,并采用其他专为支持此目的而设计的工具。

12

让我阐述一下允许使用 HTML 的理由。我正在为一个即将启动投资者论坛的客户工作。(巧合的是,封闭测试已于昨天开始。)他们的法律团队坚持要求添加免责声明。该声明必须:

  • 在论坛的每个页面上显著显示。
  • 不可被用户关闭。

换句话说,这是一个全局通知。[1]

作为一个例子(并非我正在工作的网站,但属于同一领域),请查看 Freetrade 上的免责声明。需要注意的是,法律团队并不关心通知中是否包含 HTML。他们只希望看到它存在,并且用户无法声称自己没看到它。

不幸的是,由于这是一大段文本,该通知看起来有点碍眼。幸运的是,法律团队同意使用较小的字体,并提供一个指向完整免责声明的链接。团队上周提交给法律的文案中包含了一个指向免责声明的链接。但这周我们发现,全局通知中不再允许使用 HTML。这真是“有趣”。

与此同时,如果我们将其用于预期目的(“紧急、不可关闭的全局横幅通知,面向所有访问者”),那么提供一个链接到状态页面或其他了解更多信息的地方难道不是很有用吗?

但这真的不是“任何其他用户输入”,对吧?这是一个只有少数人才能更改的网站设置。从网站所有者的角度来看,这不是用户输入,而是提供给用户的界面的一部分。[2]

是否有解释其理由的地方?如果你们正在开发另一个支持允许链接的不可关闭全局横幅的工具,[3] 了解其何时准备就绪将会很有帮助。如果可以的话,我更倾向于避免不得不进行自定义设置。

如果我表现得有点脾气暴躁,我表示歉意。我们不知道会有这个变更,这让我们陷入了尴尬的境地。社区原定于下周向更广泛的受众开放,而这个变更却给计划带来了阻碍。

  1. 我可以看到有人主张这是对该功能的误用。但如果我们要自己构建这个功能,它的运作方式将完全像全局通知一样。:man_shrugging: ↩︎

  2. 我理解从 Discourse 的角度来看,管理员也是用户。但在本例中,这种思维方式感觉不太对劲。 ↩︎

  3. 当然还有样式设计,但那是次要的。 ↩︎

13

我最初提出这一建议是为了进一步保护数据库条目,主要是因为我在一个旧论坛上遇到过编码问题。

该论坛上的表情符号被转换为 &# 格式,当被引用时,在转换过程中会导致“utf-8 中的无效字节序列”错误,并且论坛将表情符号显示为 � 符号。

我认为在未来的更新中,HTML 标签也可能出现类似情况,从而导致数据库问题,并使所有社区无法运行。

更熟悉代码的人或许可以确认,由于每个修复在推送到主分支供下载/更新之前都要经过多次检查,这种情况很可能不会发生。Discourse 团队致力于将系统打造为面向所有希望在线建立社区的用户的一键式、自包含且无问题的解决方案,他们在这一方面做得非常出色!

尽管如此,我的简单修复目前足以应对,直到有新的解决方案发布。此外,由于可以关闭横幅主题,屏幕上的杂乱内容也减少了,这也是一件好事。

14

对由此带来的不便深表歉意。若要创建不可关闭的横幅,请参考以下主题组件:

它比全局公告更强大且更具可定制性。

15

我们已在全局公告设置中重新启用 HTML 支持。我们希望找到一种更好的方法来确保平稳过渡。

16

在全球公告字段下方的描述中,您可以填写:

“HTML 支持将在未来的版本中移除”

另外,当该功能被禁用时,描述仍然显示“允许 HTML"。

17

@Roman_Rizzi 带有全局公告的版本何时发布?

18

我们对此进行了讨论,并决定保留全局通知设置的 HTML 支持,因此它不会很快被移除。

19

那我漏掉了什么?为什么它在我们的论坛(https://discuss.daml.com)上无法运行?

20

升级您的 Discourse。它已于几天前重新启用,请执行升级操作,问题应会解决。

21

谢谢您的超快回复!刚刚升级,但仍然无法工作(HTML 正在显示)。