Hello,

Das hast Du falsch verstanden. Das Angebot im Editor (Frontend) soll entsprechend der Nutzerrechte gestaltet werden, die Editoren als passend konfiguriert werden. Wie weit reicht da die Skalierbarkeit?

Du willst den TinyMCE also individualisieren? Da geht eigentlich alles - bis hin zu einer "Eingabe only" und dann kannst Dir Deine gewünschte GUI drumherumbauen.

Genau so ist es. Der User soll nur Möglichkeiten im Frontend angeboten bekommen, für die er freigeschaltet ist. Darf jemand*in keine Bilder hochladen, bekommt er*in eben die Option gar nicht erst angeboten.

Was das aber mit

denn immerhin ist der POST-Kanal ja ziemlich offen, also angreifbar.

zu tun haben soll, ist mir auch komplett schleierhaft.

Die Ergebnisse der Frontend-Aktion werden am Ende gepostet (POST). Die können aber auch gefaked werden, also muss das verarbeitende Script erst wieder prüfen, ob nur erlaubte Elemente und Parameter gesendet wurden.

Es ist wie Der Martin schon schrieb: Du bekommst auf dem Server letztlich einen dicken (gerne auch gruseligen) HTML-Blupp vor den Latz geknallt. Wenn Du den „prüfen“ und gegen Nutzerrechte abgleichen willst, dann musst den Markup-Blupp parsen und entsprechend behandeln / bereinigen.

Ja, genau. Ich habe nichts anderes behauptet.

Es gebt also um das Gesamtsystem.

Glück Auf
Tom vom Berg

Edit Rolf B: Toms Gendersternchen escaped, um Kursivsatz zu vermeiden.