Что еще добавляет комментарии к заказу?
У меня есть задача добавить редактор WYSIWYG в комментарии к заказу администратора.
Пока все хорошо. Я смог заставить это работать.
Но у меня есть одна забота. По умолчанию комментарии к заказу экранируются, когда они перечислены, и только несколько тегов разрешены на серверной части.
echo $this->escapeHtml($_item->getComment(), array('b','br','strong','i','u')); //backend
echo $this->escapeHtml($_historyItem->getComment()); //frontend
Также при отправке электронного письма все теги удаляются.
$comment = trim(strip_tags($data['comment']));
Я изменил это, чтобы все HTML-теги и швы работали нормально, но кто еще пишет эти комментарии?
Что я так хорошо знаю далеко это:
- Администраторы вручную - и я им доверяю
- Способы онлайн-оплаты при отправке обновления платежа - и я им доверяю.
Должен ли я посмотреть на что-то еще?
[ РЕДАКТИРОВАТЬ]
Из приведенных ниже комментариев я понял, что, возможно, не совсем ясно выразился.
Все работает нормально, у меня нет комментариев, появляющихся из ниоткуда, я просто обеспокоен, является ли это хорошей практикой или я должен быть осторожен с чем-то еще, что может быть опубликовано комментарии к заказу.
1 answers
Если вы сомневаетесь в комментариях сторонних разработчиков, почему бы просто не обернуть метод в условный оператор.
Предполагая, что только вашим пользователям-администраторам требуется доступ к поддержке комментариев WYSIWIG/HTML, вы можете убедиться, что она включена только для таких пользователей. Для комментариев на основе API (например. Уведомления платежного шлюза), затем экранируйте HTML как обычно.
Я бы не доверял какой-либо третьей стороне, чтобы она имела неограниченный HTML-контроль над комментариями (зачем подвергать риску?).
Это кажется простым, никому не доверяй но ваш административный персонал разрешает только неэкранированные комментарии от тех, кто вводит их через администратора (не через API).