Skripte in Beiträgen?

Unterstützung
1

Hallo,

Gibt es eine Möglichkeit, Skripte in Beiträgen nur für Administratoren auszuführen?

Ich habe versucht, es vorher einzurichten, nur um meine Website in PuTTY zum Absturz zu bringen.

Schönen Mittwoch
Olle

3

Es gab vor ein paar Jahren einen Beitrag zu diesem Thema, aber ich hoffe, dass es einen Weg gibt, dies zu tun.

https://meta.discourse.org/t/adding-a-javascript-in-a-post/130019/3

Olle

4

@Olle11 Es könnte helfen, wenn Sie genauer beschreiben, was Sie erreichen möchten.

Es gibt keine Möglichkeit, dies ad hoc über den Composer zu ermöglichen, aber je nach Anwendungsfall gibt es möglicherweise Umgehungslösungen.

Zum Beispiel führt das Poll-Plugin im Wesentlichen JavaScript in einem Beitrag aus (unter anderem).

2 „Gefällt mir“
5

Ich hoffe, ein Skript über HTML oder React auszuführen, das Widgets live in den Top-Beiträgen anzeigen kann.

Zum Beispiel ein Widget, das das Live-Wetter in einer Stadt über ein HTML-Widget-Skript anzeigt.

Ist das Poll-Plugin für diesen Fall nutzbar?

Mit freundlichen Grüßen
Olle

1 „Gefällt mir“
6

Nein, ich habe das nur als Beispiel benutzt.

Sie könnten versuchen, ein iFrame zu verwenden, wenn Sie das JavaScript an anderer Stelle hosten können.

Wenn Sie eine enge Integration wünschen, sollten Sie in Erwägung ziehen, EmberJS zu verwenden.

3 „Gefällt mir“
7

Dies ist wahrscheinlich die zugänglichste Antwort, wenn Sie Inhalte im Beitrag haben möchten und nicht beispielsweise ein Banner ganz oben.

Ich habe zum Beispiel einen der Artikel von der Titelseite von CodePen (da er in unseren allowed_iframes enthalten ist) ausgewählt und ihn unten eingebettet:

source

6 „Gefällt mir“
8

Es scheint, dass das Skript, das ich benötige, aufgrund von X-FRAME-Options: DENY keine IFrames zulässt.

1 „Gefällt mir“
9

Vielleicht etwas in dieser Richtung, um einem Skript, das in Discourse @merefield @supermathie läuft, zu erlauben?

App.yml:
DISCOURSE_ALLOW_UNSAFE_HTML: true

  • volume:
    host: /var/discourse/shared/standalone/nginx_custom.conf
    guest: /etc/nginx/conf.d/custom.conf

Nginx-Konfiguration für CSP:
add_header Content-Security-Policy “script-src ‘self’ ‘https://webadress.com’ ‘unsafe-inline’ ‘unsafe-eval’;”;

Ich versuche, die Nginx-Konfiguration hinzuzufügen, aber weder ‘unsafe-inline’ noch https werden in der CSP angezeigt, wenn ich mit curl prüfe. ‘unsafe-eval’ wird über den Admin hinzugefügt.

Bearbeiten: NICHT SICHER

10

Das Entfernen der Schutzmaßnahmen, die Discourse zum Verhindern dieser Dinge eingerichtet hat, ist eine furchtbare Idee.

Deshalb versuchen alle, dich auf die vorgeschlagenen Wege zu lenken.

Du solltest ein Theme oder ein Theme-Komponente verwenden, um Skripte zu Seiten hinzuzufügen.

7 „Gefällt mir“
11

Kann ich ein Theme oder eine Theme-Komponente verwenden, um Skripte zu einem Beitrag hinzuzufügen?

Wie kann ich ‘unsafe-inline’ in die CSP aufnehmen, damit das Skript funktioniert?

12

Das könntest du. Das Skript selbst müsste außerhalb des Beitrags liegen, oder du könntest es vielleicht bestimmte Aspekte von Beiträgen dekorieren lassen.

Ohne Einzelheiten ist es schwer zu wissen, was genau du willst.

Das ist eine schlechte Idee und du solltest es nicht tun.

5 „Gefällt mir“
13

Bezüglich der CSP und dem, was ich zu app.yml hinzugefügt habe, werde ich unsafe_html: true, das nginx-Volume und die nginx-Konfiguration für CSP von der Website entfernen, da dies nicht sicher ist.

Vielleicht funktioniert eine Theme-Komponente, hmm

14

Welches Skript möchten Sie genau ausführen?

Wo möchten Sie es ausführen?

Soll es auf einem bestimmten Beitrag oder irgendwo anders auf der Seite sein? Welche Parameter müssen übergeben werden? Ist es bei jedem Beitrag anders? Kategorie?

2 „Gefällt mir“
15

Iframe könnte funktionieren. Ich muss die CSP und unsafe_html aktualisieren, damit die Website sicher ist, denn CSP und die anderen Lösungen, die ich ausprobiert habe, sind nicht sicher.

17

Danke für den Input. Iframe funktioniert vielleicht zumindest vorerst, bis ich eine bessere Lösung gefunden habe.

18

Wenn man sich das Skript ansieht, kann man es nicht global ausführen. Es erfordert das Laden an einem Ort mit Optionen.

Ich habe ein einfaches TC erstellt: GitHub - Arkshine/discourse-tradingview-chart

Um die Optionen einfach zu ändern, können Sie sie von der Website direkt in die [wrap]..[/wrap] kopieren und einfügen.

Standardmäßig erzwingt es das Seitenverhältnis 16/9, es nimmt den gesamten Platz in der Breite ein und die Höhe ist automatisch. Das Skript erlaubt die Angabe einer Breite/Höhe, das funktioniert ebenfalls.

Ich würde empfehlen, die Option show_popup_button: true zu verwenden. Sie bietet Ihnen die Möglichkeit, den Chart im Vollbildmodus in einem neuen Fenster anzuzeigen.

image

Ich habe zwei Optionen hinzugefügt:

Das Bild zeigt eine Truderview-Konfigurationsoberfläche mit Optionen für Standard-Chart-Einstellungen und erlaubte Gruppen, eingestellt auf "light", "NASDAQ:AAPL", tägliche Intervalle, UTC-Zeit und Autismus-Status. (Beschriftet von KI)
Das Bild zeigt eine Truderview-Konfigurationsoberfläche mit Optionen für Standard-Chart-Einstellungen und erlaubte Gruppen, eingestellt auf "light", "NASDAQ:AAPL", tägliche Intervalle, UTC-Zeit und Autismus-Status. (Beschriftet von KI)613×312 14.7 KB

8 „Gefällt mir“
19

Tut mir leid, aber nur ein :heart: reicht nicht aus, um … zu vermitteln.
Alter. Das ist großartig.

3 „Gefällt mir“