Jogger.pl


W związku z dodaniem zabezpieczenia przed ewentualnym atakiem XSS oto lista dodatkowych dozwolonych odnośników w formie tagów joggerowych:

  • <ADMIN_ENTRY_ADD_HREF/> - Dodaj wpis
  • <ADMIN_TEMPLATE_MAIN_HREF/> - Edycja szablonu wpisów
  • <ADMIN_TEMPLATE_CSS_HREF/> - Edycja plików CSS
  • <ADMIN_TEMPLATE_COMMENT_HREF/> - Edycja szablonu komentarzy
  • <ADMIN_NOTIFY_LIST_HREF/> - Kto śledzi mojego joggera
  • <ADMIN_LOGOUT_HREF/> - Wylogowanie
  • <ADMIN_ENTRY_LIST_HREF/> - Lista wpisów do edycji
  • <ADMIN_DRAFT_LIST_HREF/> - Lista szkiców
  • <ADMIN_THREAD_LIST_HREF/> - Śledzone wątki
  • <ADMIN_SETTINGS_HREF/> - Ustawienia

Wszystkie wymienione tutaj znaczniki działają jedynie w bloku <ADMIN_BLOCK> i zostały uaktualnione we wszystkich szablonach.

Proszę uzupełnić joggerowe wiki

UPDATE: Dodatkowy znacznik na stronę z komentarzami: <ADMIN_COMMENT_EDIT_HREF/> - Edycja komentarza


Komentarze RSS

  1. to jest bardzo fajne rozwiązanie dziękuje :)

  2. A można prosić <ADMIN_COMMENT_EDIT_HREF/>? bo ja do tej pory używałem opracowanego przeze mnie urla opisanego na wiki . Podejrzewam że będą teraz z tym problemy

  3. „Opracowany” przez Ciebie URL nie działa, sprawdzałem i się wkurzałem że Textile mi nie działa. Brakuje przekazania ID wpisu.

  4. @Riddle mi do dnia dzisiejszego działał bez zarzutów, bez ID wpisu

  5. @Siergiej jutro dodam, dzisiaj już wysiadam.

  6. (Komentarz zmodyfikowany 20.01.2007 o 05:27)

    Spoko sparrow, nie pali się:)

  7. Na przykład: usuwanie wpisu, masz możliwość usunięcia własnego wpisu. Jeżeli ktoś by umieścił u Ciebie w komentarzach odpowiedni link, to Ty klikając w niego skasowałbyś własny wpis.

    Ale przecież te akcje (usunięcie, dodanie, edycja wpisów) wymagają i tak potwierdzenia, więc po co robić to dwa razy?

  8. @Siergiej owszem wymagają potwierdzenia, ale jedynie co się zmienia to parametr w adresie z &op=remove na &op=removeconfirm, rozumiesz ?

  9. Rozumiem, ja tylko tak od praktycznej strony to biorę – żeby usunąć wpis muszę 2 razy to potwierdzić

  10. @Siergiej owszem, ale tylko wchodząc z zewnątrz. Operując po panelu sterowania nie będziesz miał dodatkowych potwierdzeń.

    Ile razy dziennie kasujesz wpisy, bezpośrednio ze swojego joggera ?
    Komunikat ma zwrócić uwagę, że coś może być nie tak.

  11. Riddle — to obejście Siergieja działa. Już dawno poprawiłem wpis w wiki.
    Chyba sama postać komendy też przerabiałem.

  12. „@Siergiej owszem wymagają potwierdzenia, ale jedynie co się zmienia to parametr w adresie z &op=remove na &op=removeconfirm, rozumiesz ?”

    Przede wszystkim potwierdzenie powinno iść w requescie POST (i tylko w takiej postaci być przyjmowane), a nie GET. Wtedy nagle i problem „wrogiego linku” by zniknął. Obecne zabezpieczenie to tylko obejście problemu w założeniach.

  13. To przy okazji tych znaczników.
    W komentarzu można wpisać na przykład encję:
    &trade;
    Oczywiście wynik jej — znak TM się nie pojawi, ale jeśli osoba, która to zrobiła zedytuje komentarz i poprawi w czasie edycji:
    &&amp;trade; na &trade;
    to już w komentarzu ten znak encji się uzyska w treści komentarza wyświetlanego na jogu.

    Tak jak tu będzie za moment po edycji: &trade;

    W sumie to fajna rzecz, ale trochę karkołomne uzyskiwanie jej.
    Jak to nie jest niebezpieczne, to ja bym chciał, żeby encje działały, bo nie chce mi się przedefiniowywać klawiatury.

  14. O to ciekawe, tu się tak nie zrobiło, a raz tak zrobiłem sam i ktoś inny, za to w panelu podczas edycji komentarza widać zamiast encji znak TM.

    Acha i nie wraca do komentowanego wpisu po zatwierdzeniu zmiany treści komentarza.

  15. Czy te znaczniki działają tylko w szablonie wpisów? Bo ułatwiałem sobie życie i mam linki bezpośrednio do panelu w ADMIN_BLOCK i teraz nie bangla wszystko.
    Bo zamieniłem https://login.jogger.pl/ na <ADMIN_SETTINGS_HREF/> i na stronie z komentarzami albo logowania dla „obcych” są takie efekty:

    http://lemiel.jogger.pl/2007/01/16/nie-moge-no-nie-moge/&ADMIN_SETTINGS_HREF;
    http://login.lemiel.jogger.pl/&ADMIN_SETTINGS_HREF;

    A na stronie wpisów jest:
    https://login.jogger.pl/?tab=settings

  16. Sparrow, szczerze mówiąc to wpisy kasuję ekstremalnie rzadko, ale od kiedy porobiłem sobie ADMIN_BLOCKi w szablonie to takie operacje robię tylko ze swojego joggera. Dla przykładu – edycję klikam prawie przy każdym dodanym wpisie, zawsze znajdę coś wymagającego dopicowania…

  17. A i coś się stało że nie mogę edytować własnych komentarzy – klikam edytuj, potwierdzam ostrzeżenie, zmieniam, zatwierdzam a komentarz pozostaje bez zmian

  18. @Siergiej co do komentarzy wiem, wieczorem poprawie

  19. Komentarze poprawione.

  20. Super!

  21. Uuu, <ADMIN_COMMENT_EDIT_HREF>, nice, dzięki sparrow!

  22. @Siergiej nice, nice, a kto uzupełni wiki ? ;)

  23. Damn, czuję się zobowiązany ;)
    Się robi…

  24. A <ADMIN_COMMENT_HREF/>?

  25. A co to miało by być? ;/

  26. Wiki uzupełnione

  27. Siergiej – nie doszło powiadomienie. Oczywiście miało być <ADMIN_COMMENT_EDIT_HREF/>.

  28. Doszło powiadomienie, tylko Gaim nie wyświetlił znacznika…

  29. Lemiel, ale ja nadal nie wiem o co chodzi, przecież Sparrow zrobił znacznik <ADMIN_COMMENT_EDIT_HREF/>, a ja opisałem na wiki, więc o co chodzi?

  30. Siergiej – wszystko OK.
    Jeszcze na wiki trzeba poprawić to o 4 znacznikach… Bo chyba się to już do wszystkich ADMIN_ odnosi.

  31. Lemiel, w czasie gdy pisałeś ten komentarz zdążył byś poprawić te wiki…

  32. ;)

Komentowanie tylko dla zalogowanych