[Frage] Frage zu lib.parseFunc_RTE.htmlSanitize = 1 bei der Verwendung und bezüglich Sicherheit TYPO3-Version: 9.5.28

  • Shark1982 Shark1982
    Padawan
    0 x
    50 Beiträge
    0 Hilfreiche Beiträge
    12. 08. 2021, 12:31

    Hallo,

    ich hatte jetzt bei einem Update von 9.5.28 auf die 9.5.29 das Phänomen, das auf einmal sämtlicher HTML Code von Inhaltselementen nicht mehr gerendert wird bzw. er hat nur das pure HTML ausgegeben.

    Ich hatte im Fluid-Template folgenden Code hinterlegt.
    [code]{content->f:format.html(parseFuncTSPath:'lib.parseFunc_RTE')}[/code]

    Nach dem Update auf die 9.5.29 stand im includierten TypoScript Template =>
    FILE:EXT:fluid_styled_content/Configuration/TypoScript/Helper/ParseFunc.typoscript
    die folgende Eigenschaft auf 1.
    [code]lib.parseFunc.htmlSanitize = 1[/code]

    Erst wenn man diese Einstellung wieder auf [code]lib.parseFunc.htmlSanitize =0 [/code] setzt wird auch wieder das HTML im Frontend korrekt gerendert.
    Hab ich jetzt damit die Sicherheit reduziert bezüglich XSS wozu dieses sanitize auch dient ?

    Hat man jetzt eine neue Funktion erfunden um die Frontend-Entwickler zu ärgern oder ist das ein Bug an der Stelle ?
    [code]lib.parseFunc.htmlSanitize = 1[/code]

  • Hilfreichster Beitrag

  • 1 x
    3270 Beiträge
    157 Hilfreiche Beiträge
    13. 08. 2021, 09:04 - Hilfreichster Beitrag

    Da gab es leider ein paar ungewollte Randeffekte mit den letzten TYPO3-Updates... :-/

    Siehe (zwischenzeitlich eingefügte) "Know side-effects in recent releases"-Box bei den Release-Notes:
    https://typo3.org/article/typo3-1132-10419-9529-8742-7653-security-releases-published

    Kleiner Hinweis:
    das Forum hier ist leider nicht mehr so frequentiert :-(
    Für schnellere Hilfe und mehr Leser, guck mal
    - auf stackoverflow ( https://stackoverflow.com/questions/tagged/typo3 )
    - oder in die slack-Channels ( https://typo3.org/community/meet/chat-slack )


  • 1
  • 1