[Frage] Frage zu lib.parseFunc_RTE.htmlSanitize = 1 bei der Verwendung und bezüglich Sicherheit TYPO3-Version: 9.5.28

  • Shark1982 Shark1982
    Padawan
    0 x
    50 Beiträge
    0 Hilfreiche Beiträge
    12. 08. 2021, 12:31

    Hallo,

    ich hatte jetzt bei einem Update von 9.5.28 auf die 9.5.29 das Phänomen, das auf einmal sämtlicher HTML Code von Inhaltselementen nicht mehr gerendert wird bzw. er hat nur das pure HTML ausgegeben.

    Ich hatte im Fluid-Template folgenden Code hinterlegt.
    [code]{content->f:format.html(parseFuncTSPath:'lib.parseFunc_RTE')}[/code]

    Nach dem Update auf die 9.5.29 stand im includierten TypoScript Template =>
    FILE:EXT:fluid_styled_content/Configuration/TypoScript/Helper/ParseFunc.typoscript
    die folgende Eigenschaft auf 1.
    [code]lib.parseFunc.htmlSanitize = 1[/code]

    Erst wenn man diese Einstellung wieder auf [code]lib.parseFunc.htmlSanitize =0 [/code] setzt wird auch wieder das HTML im Frontend korrekt gerendert.
    Hab ich jetzt damit die Sicherheit reduziert bezüglich XSS wozu dieses sanitize auch dient ?

    Hat man jetzt eine neue Funktion erfunden um die Frontend-Entwickler zu ärgern oder ist das ein Bug an der Stelle ?
    [code]lib.parseFunc.htmlSanitize = 1[/code]


  • 1
  • 1