BBcode eller HTML?

[olafmoriarty]

Foretrekker dere å gi brukerne deres en begrenset BBcode-løsning når de skriver ting på sidene deres (f.eks. kommentarer), eller godtar dere fullstendig HTML? Jeg har alltid brukt helt enkel BBcode med b, i, u, url og img, men vurderer å bytte til HTML-støtte, og lurer litt på hvordan dere har tenkt når dere har valgt dette.

Hovedgrunnen til at jeg har brukt bbcode i så mange år er selvsagt at det blir veldig mye enklere å vaske input på den måten. De to hovedgrunnene til at jeg nå vurderer å bytte, er a) at det gjør at brukerne kan bruke lister, lime inn youtube-filmer og sånne ting uten at jeg er nødt til å skrive funksjoner for dette, og b) at jeg tenker på å sette inn TinyMCE, som har BBcode-støtte, men den er ikke særlig god.

Må selvsagt fortsatt bruke heavy kodevasking for å hindre XSS og slikt, men ...

 

[Nutz]

Fortsett med BBcode, ta jobben med å tilpasse til de forskjellige objektene/stedene som Youtube etc. Dette blir en forholdsvis enkel oversiktlig "hvit-liste" for deg å oppdatere, "en svarte-liste" blir aldri komplett.

 

[TorsteinO]

hva slags system er det du bruker? For de fleste opensourceløsningene finnes det vel plugins/moduler som legger til støtte for youtubevideoer osv, eller lager du noe helt eget? Evt bør det vel gå å se på hvordan dette er løst i f.ex. youtubeplugins for wordpress, og kopiere løsningen derfra

 

[olafmoriarty]

Lager noe helt eget, ja. Og jeg skal klare å leke nok med regular expressions til at jeg kan kjøre htmlentities på alt og deretter konvertere alle standard youtube-embed-koder tilbake til HTML, det er ikke problemet. Jeg kan klare å lage støtte for det meste, men jeg lurer likevel litt på om HTML kanskje hadde vært litt mer brukervennlig. Dog er jeg helt enig i at det er langt lettere å vedlikeholde en whitelist enn en blacklist.

(Hmm... Wordpress bruker da ikke bbcode?)

 

[TorsteinO]

Nei, WP bruker ikke bbcode, men shortcodes er jo egentlig mye av samme ulla. F.ex. [ youtube kPRQWdk4M_E ], som da gir embedkoden for YouTube - 100 Kilo Website .

 

[picxx]

Du kan vel begrense bruken selv om du bruker html?
(Det gjør wordpress)

 

[olafmoriarty]

Bestemte meg for å gå for bruk av ren XHTML, med TinyMCE som WYSIWYG-editor kombinert med HTML Purifier som HTML-vasker. Tror det er det beste jeg får til.

 

[picxx]

Bestemte meg for å gå for bruk av ren XHTML, med TinyMCE som WYSIWYG-editor kombinert med HTML Purifier som HTML-vasker. Tror det er det beste jeg får til.

Komplifisert...

 

[olafmoriarty]

Hvordan er det komplisert? Begge scriptene fungerer rett ut av boksen med minimalt av tilpassing, sluttbrukerne får tilgang på WYSIWYG og langt flere funksjoner enn jeg hadde giddet å legge inn i bbcode, og jeg trenger ikke å bekymre meg for xss. Svært ukomplisert, spør du meg.