[TYPO3-german] SVG in HTML-Partial integrieren - was wäre best practice?

Chr1s h8h at dev-nu11.de
Mon Apr 3 23:29:41 CEST 2017 

Hallo Dieter,

> P:S. Ja. Ich weiß, dass die freie Wahl von SVGs bei unbedarften
> Redakteuren eine Gefahrenquelle für Cross-Site-Scripting sein kann -
> aber: Freiheit ist oft schöner und wichtiger als Sicherheit.

bei solchen Aussagen kann ich nur den Kopf schütteln. Das wäre so wie
wenn man in einem Land jeden den Umgang mit Waffen erlaubt und sagt
Freiheit ist oft schöner und wichtiger als Sicherheit, bzw. der Tot
eines anderen Menschen. XSS tötet kleine Katzen :).

Ich denke aber das du das nicht so meinst, wenn ich das richtige
interpretiere haben "nur" die Redakteuere die Möglichkeit SVGs
hochzuladen. Somit hast du eine Nachvollziehbarkeit über die Historie,
wer was hochgeladen hat und kannst dann dem Redakteur vors Schienbein
treten. Schlimmer wärs wenn jeder "anonyme" Besucher diese Möglichkeit hat.

Zurück zum eigentlichen Problem, das könnte dir helfen:
<img src="{f:uri.image(src: 'uploads/tx_myext/{imgIcon}')}">

über f:uri.image bekommst du die URL des Bildes als Rückgabe den Pfad
zur Originaldatei, ohne Typo3 Manipulationen.

Siehe Doku:
http://stuff.lime-flavour.de/file-resource-uris-in-fluid-unter-typo3-6-x-erzeugen-fal/

Viele Grüße

Chr1s


On 04/03/2017 10:10 PM, Dieter Porth wrote:
> Liebe Liste,
> Wahrscheinlich bin ich aktuell etwas vernagelt und werde mich über einen
> Tipp freuen.
> 
> ich habe im FAL eine SVG-Datei definiert, die ich  in einem Template
> ausgeben möchte. Leider funktioniert mein bisherige Krücke über ein
> SVG-InjektScript nach Portierung der Extension auf TYPO3 8.6 nicht mehr,
> weil TYPO3 8.6 jetzt über den f.uri.image-Viewhelper SVG-Graphiken zu
> Images verhunzt  und damit dem SVGs jede Dynamik klaut..
> Leider verfügt der Viewhelper f.uri.image meines Wissens nach über
> keinen Schalter für:
> TYPO3_Lass_die_Finger_weg_ich_weiß_was_ich_tue.
> 
> Da ich über JavaScript  bzw. CSS die Farbgebung des SVG dynamisch halten
> möchte, suche ich jetzt eine Möglichkeit, die SVG-Definition vor TYPO3
> während des Renderprozesses zu schützen und es direkt in die gerenderte
> Seite zu setzen. Gleichzeitig soll der Redakteur die Möglichkeit haben,
> dynamisch neue weitere SVG-Dateien in seine Collection aufzunehmen, um
> sie dynamisch verwenden zu können. Kennt jemand dafür eine einfache
> Möglichkeit (viewhelper aus anderen Extensions) oder muss ich dafür
> selbst einen SVG-Import-Viewhelper schreiben?
> Mit besten Grüßen    Dieter
> 

> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

More information about the TYPO3-german mailing list