[TYPO3-UG Dutch] Mailformulier versturen naar waarde uit <select>element
Michiel Roos [netcreators]
michiel at netcreators.com
Wed Sep 19 18:12:36 CEST 2007
Michiel Roos [netcreators] wrote:
> Dag Hidde,
>
> Wat een heldere simpele oplossing. Ik wist niet dat dat standaard
> mogelijk was.
>
Het werkt wel!
Als je inde install tool kijkt, zie je dat er twee setting zijn waarmee
je 'install wide' (helaas). het formulier gedrag in kan stellen.
Er is inderdaad een wijziging doorgevoerd ergens tussen de TYPO3
versies. Deze wijziging zorgt ervoor dat er standaard alleen door het
systeem zelf gecodeerde email naar ontvangers wordt gestuurd.
$TYPO3_CONF_VARS['FE']['strictFormmail'] = '1';
Boolean. If set, the internal "formmail" feature in TYPO3 will send mail
ONLY to recipients which has been encoded by the system itself. This
protects against spammers misusing the formmailer.
$TYPO3_CONF_VARS['FE']['secureFormmail'] = '1';
Boolean. If set, the internal "formmail" feature in TYPO3 will send mail
ONLY to the recipients that are defined in the form CE record. This
protects against spammers misusing the formmailer.
En het is inderdaad waar. Als je een option list opgeeft voor
ontvangers, dan zou een 'aanvaller' je formulier lokaal na kunnen maken
en daar een lijst met ontvangers kunnen invullen (of een script laten
draaien dat al zijn 5 miljoen e-mail adressen af gaat). Hij zou dan spam
kunnen versturen als hij verder de body van het bericht ook nog een
beetje weet te manipuleren.
Vandaar dat bovenstaande config vars standaard op 1 staan tegenwoordig.
. . . tenzij . . . de pagina die het formulier op eet de 'referer'
checkt. Daarvan moet het domein en de uri overeen komen die waarnaar het
form wordt gepost (de pagina zelf).
Hmm . . . .
Nopz . . . De fucntie FORM() in
typo3_src/typo3/sysext/cms/tslib/class.tslib_content.php
. . . doet niets met een referer check.
Dit is al eens voorgesteld in 2005! http://bugs.typo3.org/view.php?id=1458
Overigens is de rapporteur al niet meer actief bezig met TYPO3 getuige
zijn doorgestreepte naam in de bugtracker.
Het zou mooi zijn als dit een beetje opgeruimd wordt zodat wat Hidde
voorstelt ook 'veilig' uitgevoerd kan worden.
Ik ga dat eens overleggen met Patrick alt ie weer terug is.
Met vriendelijke groet,
Michiel Roos
--
Netcreators BV :: creation and innovation
www.netcreators.com
Interesse in werken bij Netcreators?
http://www.netcreators.com/bedrijf/vacatures/
More information about the TYPO3-UG-dutch
mailing list