Wenn ich einen Link im Format https://user:password@domain.tld hinterlege, werden die Authentifizierungsdaten entfernt. Was übrig bleibt ist https://domain.tld
Beispiel: https://user:password@domain.tld
Wenn ich einen Link im Format https://user:password@domain.tld hinterlege, werden die Authentifizierungsdaten entfernt. Was übrig bleibt ist https://domain.tld
Beispiel: https://user:password@domain.tld
Kann ich nicht reproduzieren:
[url='https://user:password@domain.tld']https://user:password@domain.tld[/url]
https://user:password@domain.tld
[url]https://user:password@domain.tld[/url]
https://user:password@domain.tld
Im Hover wird nur die Domain angezeigt, das macht Chrome von sich aus. Der Link ist aber tatsächlich vollständig, überzeuge dich gerne im Quellcode selbst davon
Kann ich nicht reproduzieren:
[url='https://user:password@domain.tld']https://user:password@domain.tld[/url]https://user:password@domain.tld
[url]https://user:password@domain.tld[/url]
https://user:password@domain.tld
Der BBCode mag das unterstützen, die "normale" Link-Funktion aber nicht. Ich habe ja auch nicht umsonst das Beispiel oben gepostet
Der BBCode mag das unterstützen, die "normale" Link-Funktion aber nicht. Ich habe ja auch nicht umsonst das Beispiel oben gepostet
Angesichts dessen, dass du als Entwickler so die eine oder andere Erfahrung hast, habe ich mich auf den BBCode konzentriert. Da ich es nicht nachstellen konnte, habe ich demzufolge angenommen, dass ich irgendetwas übersehen habe.
Die Ursache liegt wahrscheinlich im Filter von HTMLPurifier, mal sehen…
Der Benutzername und Password in der URL wird von HTMLPurifier vorsätzlich entfernt und lässt sich auch nicht anderweitig konfigurieren. Angesichts des hohen Sicherheitsrisikos dieser Funktionalität, sehe ich keinen ausreichenden Grund vor einer Änderung, insbesondere da das aktuelle Verhalten implizit Nutzer schützt.
Verantwortlich dafür ist diese Stelle im Code https://github.com/ezyang/html…er/URIScheme/http.php#L31, eingebaut wurde dies im Jahr 2007 durch diesen Commit: https://github.com/ezyang/html…198e846fd5c8db36828ea17f6. Der selbe Code ergänzte auch mehrere neue Tests, die explizit darauf prüfen, dass Benutzername und Passwort aus URLs entfernt werden, es handelt sich somit um keinen Irrtum, sondern eine beabsichtigte Sicherheitsmaßnahme.
Ups... Jetzt, wo du es sagst 😁
Don’t have an account yet? Register yourself now and be a part of our community!