slyfox

[Basti]

Bereits zu Beginn der Arbeiten an slyfox stand fest, dass mehrere externe Komponenten Einzug in das neue CMS finden würden.
Mit dem HTML Filter HTML Purifier erweitert sich diese Liste nun um eine weitere Komponente.

Vielleicht fragt ihr euch, warum ich mich entschieden habe, auch für diese Aufgabe auf eine externe Lösung zu setzen. Immerhin arbeite ich bereits mit einem umfangreichen PHP Framework.
Die Begründung ist aber eigentlich recht simpel: Die Sicherheit geht vor!
Da in slyfox HTML Eingaben möglich sind, wahlweise über einen WYSIWYG- oder einen reinen HTML-Editor, steigt die Anfälligkeit für XSS-Attacken. Hierbei wird Schadcode beispielsweise in Form von JavaScript-Codeschnipseln in eine Seite eingeschleust. Eine effektive Filterung ist allerdings aufwendig und vergleichsweise komplex.

In meinen früheren Projekten konnte ich dieses Problem durch den Einsatz von BBCode umgehen. Sämtliche HTML-Eingaben wurden hier einfach gefiltert oder entwertet. Die Nachteile sind allerdings unübersehbar: BBCode ist sehr restriktiv und erlaubt deshalb kaum gestalterische Freiheiten. Häufig sind Layout-Elemente wie Tabellen gar nicht oder nur in eingeschränkter Form verfügbar.

Der Umstieg auf HTML-Eingaben war für mich deshalb unverzichtbar. Einziges Problem stellt meine fehlende Erfahrung mit deren Filterung dar. Zwar hatte ich mich bereits seit längerem mit dem Thema und möglichen Umsetzungen beschäftigt, allerdings fühle ich mich derzeit noch nicht im Stande, eine Lösung zu entwickeln, die in puncto Sicherheit ein ähnliches Niveau wie bereits verfügbare Lösungen erreichen könnte.
Ich strengte deshalb eine kleine Recherche an, bei der mir das Projekt HTML Purifier auf Anhieb am meisten zusagte. Zwar handelt es sich hierbei nicht um die schlankeste Lösung, dafür aber um eine der sichersten. Außerdem scheint HTML Purifier ein Projekt mit guten Zukunftschancen zu sein, sodass auch in Zukunft mit einer zufriedenstellenden Weiterentwicklung gerechnet werden kann.

Die Integration in slyfox wurde heute vorgenommen. Erste Tests verliefen bisher zufriedenstellend. Ein weiterer wichtiger Bestandteil von slyfox hat damit Einzug in das Projekt gefunden. Nicht zuletzt spart der Einsatz des HTML Purifiers viel Entwicklungsarbeit.