Hallo,

"Wie erstelle ich ein Anzeigebeispiel, das man sich im Browser ansehen kann?

Im Moment ist dies nicht möglich. Das direkte Hochladen von ungefilterten HTML-Dateien (was nötig wäre) würde das System für potentielle Cross-Site-Scripting-Lücken öffnen. Bis wir eine zufriedenstellende Lösung gefunden haben, ist die einfachste Alternative, den Beispieltext erst einmal nur in die Seite (in <pre>-Tags) zu setzen."

Ich bin mir gerade nicht sicher wie der Text gemeint ist. Geht es, um die Gefahr, das Personen bösartige Scripte einstellen oder um die Gefahr, dass an sich gutartige Scripte über Cross-Site-Scripting-Lücken verfügen könnten. An und für sich wäre ja beides Cross-Site-Scripting.

Ersteres ließe sich vielleicht durch eine Überprüfung durch eine vertrauensvolle Personengruppe ähnlich wie bei der Wikipedia mit mit gesichteten und ungesichteten Artikeln verhindern. Das würde bedeuten, dass der Quellcode solange er noch nicht gesichtet wurde, nur angezeigt wird. Erst nachdem er gesichtet wurde, wird der Code direkt als Anzeigebeispiel angeboten.

Das zweite Problem kann man vielleicht dadurch einschränken, da man die Übergabe von Parametern an das Script verbietet oder mit einer Whitelist für Demonstrationszwecke stark einschränkt. Serverseitig müsste man die Ausgabe des Anzeigebeispiels dann durch eine Fehlermeldung ersetzten, sobald ein Parameter übergeben wird, der nicht in der Whitelist vorkommt.

Ich bin mal gespannt auf eure Meinungen zu meinen Ideen. Vielleicht gibt es ja auch noch andere Aspekte, die man berücksichtigen sollte.

Viele Grüße Novi