Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

comentário de chamado injetando html #344

Open
wgnann opened this issue Jun 30, 2022 · 3 comments
Open

comentário de chamado injetando html #344

wgnann opened this issue Jun 30, 2022 · 3 comments

Comments

@wgnann
Copy link
Contributor

wgnann commented Jun 30, 2022

Colocar algum html no comentário como, por exemplo,

<meta http-equiv="Refresh" content="1;url='https://www.youtube.com/watch?v=oHg5SJYRHA0'">

faz com que o comentário, na hora de ser aberto, seja processado como HTML.

O ideal seria tratar/sanitizar(?) o texto na hora de ser exibido.

Além disso, parece que existe algum excerto de código que transforma texto de link (e.g. https://www.youtube.com/watch?v=oHg5SJYRHA0) em link em HTML (e.g. <a href="https://www.youtube.com/watch?v=oHg5SJYRHA0">https://www.youtube.com/watch?v=oHg5SJYRHA0</a>). Não sei se é uma boa prática tratar o texto antes de ir para o banco.

@wgnann
Copy link
Contributor Author

wgnann commented Jun 30, 2022

Aliás, nessa mesma esteira, o campo descrição fica vazio se for preenchido com tags HTML.

@wgnann
Copy link
Contributor Author

wgnann commented Jun 30, 2022

acho que é só usar o e() aqui:

<p class="card-text" id="comentario">{!! nl2br($comentario->comentario) !!}</p>

@masakik
Copy link
Member

masakik commented Feb 1, 2024

Ao invés de substituir na inserção do texto pensei em substituir somente na renderização. Menos invasivo.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

No branches or pull requests

2 participants