Breadcrumbs

HTML Sanitazer

Die HTML-Validierung dient der Gewährleistung der Plattform-Sicherheit, indem nur HTML-Formatierungen, die als sicher eingestuft sind, bearbeitet und in der Datenbank gespeichert werden. Alle anderen HTML-Formatierungen sowie andere Codes und Skripte werden vorab gefiltert (einschließlich eingeschlossener Inhalte) und somit automatisch aus dem eingegebenen Text entfernt.

Standardmäßig ist die HTML-Validierung für die Plattform aktiviert.

Zulässige HTML-Formate

Die folgenden HTML-Formate werden als sicher eingestuft und daher nicht automatisch entfernt, wenn die HTML-Validierung für die Plattform aktiviert ist:

  • Zulässige HTML-Tags: a, b, blockquote, br, caption, cite, code, col, colgroup, dd, dl, dt, em, h1, h2, h3, h4, h5, h6, hr, i, img, li, ol, p, pre, q, small, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul

  • HTML-Tags, für die das Attribut „style“ zulässig ist: p, li, h1, h2, h3, h4, h5, h6, img, span

  • HTML-Tags, für die das Attribut „id“ zulässig ist: span

  • HTML-Tags, für die das Attribut „target“ zulässig ist: a

Die folgenden Zeichen werden ebenfalls entfernt oder ersetzt, wenn die HTML-Validierung für die Plattform aktiviert ist:

  • Die Zeichen „<“, „>“ und „\“ werden durch die HTML-Sonderzeichen „&lt;“, „&gt;“ und „\“ ersetzt, wenn sie nicht als Teil nicht autorisierter HTML-Tags gefunden werden.

  • Zeichen mit Unicode-Werten 0-32, 5760, 6158, 8192-8198, 8200-8202, 8232, 8287, 12288 werden entfernt.

Komponenten, für die die HTML-Bereinigung angewendet wird

Alle Texteingabefelder, die über einen HTML-Editor verfügen, unterliegen einer HTML-Bereinigung. Die HTML-Bereinigung wird auch für Buchungs-E-Mail-Texte und Metatags mit Eintrag angewendet.

Bypass-Sanitization

Als Administrator können Sie die HTML-Bereinigung von Systemtexten und Buchungs-E-Mails überspringen (siehe Screenshot unten). Auf diese Weise kann HTML in Systemtexten nach dem Speichern des Systemtextes über das Backend wie vorgesehen angezeigt werden, ohne durch die Bereinigung verändert zu werden. Dies verbessert die Benutzerfreundlichkeit für Administratoren, verringert jedoch das Sicherheitsniveau.

image-20241024-152227.png

In der Sicherheitskonfiguration gibt es die Option „Skippen der Sanitizerfunktion für Systemtexte mit Bestätigung“ und die Option „Umgehen“ für Buchungs-E-Mails, die ausgewählt werden muss, um die Überspringfunktion nutzen zu können.