6.15. Alapfogalom: szövegformátumok és -szerkesztők

A tartalomkezelő rendszerekben jellemzően szöveges tartalmakat tudunk rögzíteni és szerkeszteni. Az egyszerűbb formázás érdekében ehhez gyakran használunk szövegszerkesztőt. Szövegek beküldésére szolgáló beviteli mezők gyakran elérhetőek nyilvános felületekről – például a hozzászólás-beküldő vagy kapcsolatfelvételi űrlapokon – és adminisztrációs felületről egyaránt (például cikkek beküldésekor). A Drupal-alapú webhelyen tárolt szövegek formátuma azt határozza meg, hogy milyen HTML-elemeket tartalmazhatnak, ezáltal mennyire formázhatók. Egy szövegformátum több szűrőből épül fel, melyek mindegyike valamilyen módon átalakítja a beküldött szöveget. Amikor a felhasználó valamilyen szöveget ír be a webhelyünkön (pl. hozzászólást küld be vagy kitölti a kapcsolatfelvételi űrlapot), azt egy előre meghatározott szövegformátum segítségével teszi, miközben az eredeti – módosítások nélküli – szöveget menti el a rendszer az adatbázisban. Így amikor legközelebb meg kell jeleníteni a szöveget, a Drupal kiolvassa az adatbázisból a nyers karaktersorozatot, alkalmazza rá a hozzárendelt formátumot (azaz a szűrőit egyesével érvényesíti rajta), és csak azután küldi ki az így kapott formázott végeredményt a böngésző felé.

Mindezt az alaprendszer Filter modulja végzi, ami alapértelmezetten be van kapcsolva, ha webhelyünket az Általános telepítési profillal hoztuk létre. Ehhez a telepítési profilhoz gyárilag kapunk egy „Alap HTML”, egy „Korlátozott HTML” és egy „Teljes HTML” nevű szövegformátumot. Mindegyik szövegformátum önálló jogosultságokkal bír, így könnyen szabályozható, hogy a felhasználók mely szerepköréhez mennyire megengedő vagy éppen szigorú szűrésű formátumokat engedélyezünk. Így például a be nem jelentkezett felhasználóknak (másképpen azonosítatlan látogatóknak) a hozzászólások beküldéséhez elegendő csupán az Alap HTML szövegformátum engedélyezése, így nem tudnak ártó szándékú tartalmat a webhelyünkre juttatni.

A jogosultságokon túl a szövegformátumokhoz szerkesztőprogramok is társíthatók, mint például az „azt kapod, amit látsz” (WYSIWYG) típusú CKEditor. Ezt az alaprendszer Text Editor modulja biztosítja, valamint ugyanez teszi lehetővé azok testreszabását is (például további formázási műveletek gombjainak kihelyezését az eszközsorukra). Egy másik alaprendszerben található modul, a CKEditor pedig – nevéből könnyen kitalálhatóan – a mára már széleskörűen elterjedt CKEditor nevű JavaScript-alapú szövegszerkesztőt integrálja a webhely működésébe.

Az angol eredeti elnevezéssel cross-site scripting (rövidítve XSS, ami magyarra leginkább talán „webhelyközi parancsprogram-támadásként” fordítható le) egy elterjedt hackelési módszer, ami egyes webhelyek sérülékenységére épít. Lényege, hogy egy nem megfelelően védett webhelyre az ártó szándékú felhasználók képesek bejuttatni olyan szkripteket, amelyek más, ártatlan látogatók oldalmegtekintései során azzal együtt letöltődnek. Az egyik leggyakoribb célja az effajta támadásoknak a gyanútlan látogatók felhasználói fiókjába való bejelentkezés. A webhelyközi parancsprogram-támadás a webhely nyilvánosság számára elérhető szövegbeviteli lehetőségein (pl. hozzászólás, fórum, vendégkönyv stb.) keresztül valósítható meg a legkönnyebben. Emiatt kell odafigyelni a szövegformátumok különböző szerepkörök részére való engedélyezésére.

13.3. szakasz - Alapfogalom: A rendszeres frissítések és webhelyünk biztonsága

Közreműködők

Írta és szerkesztette: Boris Doesborg és Jennifer Hodgdon. Fordította: Balu Ertl (Brainsum).