URL-BBCode entfernt Basic-Auth-Informationen

Kann ich nicht reproduzieren:

[url='https://user:password@domain.tld']https://user:password@domain.tld[/url]

https://user:password@domain.tld

[url]https://user:password@domain.tld[/url]
https://user:password@domain.tld

Im Hover wird nur die Domain angezeigt, das macht Chrome von sich aus. Der Link ist aber tatsächlich vollständig, überzeuge dich gerne im Quellcode selbst davon

Quote from SoftCreatR

Der BBCode mag das unterstützen, die "normale" Link-Funktion aber nicht. Ich habe ja auch nicht umsonst das Beispiel oben gepostet

Angesichts dessen, dass du als Entwickler so die eine oder andere Erfahrung hast, habe ich mich auf den BBCode konzentriert. Da ich es nicht nachstellen konnte, habe ich demzufolge angenommen, dass ich irgendetwas übersehen habe.

Die Ursache liegt wahrscheinlich im Filter von HTMLPurifier, mal sehen…

Der Benutzername und Password in der URL wird von HTMLPurifier vorsätzlich entfernt und lässt sich auch nicht anderweitig konfigurieren. Angesichts des hohen Sicherheitsrisikos dieser Funktionalität, sehe ich keinen ausreichenden Grund vor einer Änderung, insbesondere da das aktuelle Verhalten implizit Nutzer schützt.

Verantwortlich dafür ist diese Stelle im Code https://github.com/ezyang/html…er/URIScheme/http.php#L31, eingebaut wurde dies im Jahr 2007 durch diesen Commit: https://github.com/ezyang/html…198e846fd5c8db36828ea17f6. Der selbe Code ergänzte auch mehrere neue Tests, die explizit darauf prüfen, dass Benutzername und Passwort aus URLs entfernt werden, es handelt sich somit um keinen Irrtum, sondern eine beabsichtigte Sicherheitsmaßnahme.