ramazza vecchie foglieUtilizzando Joomla a chi non è capitato di inserire un video di YouTube in un articolo, e dopo il salvataggio questo sparisce? Non è l’unico caso in cui Joomla si rifiuta di inserire dei contenuti.

Le soluzioni sono semplici, ma implicano una riduzione dei sistemi di sicurezza che Joomla mette in atto. Reputo quindi importante capire la motivazione perché il team di sviluppo di Joomla ha inserito questi controlli.

Perché i filtri sul html

Sapete cosa fa questo codice inserito in un articolo visibile nella home del nostro sito?

<SCRIPT>
document.location='http://www.google.com'
</SCRIPT>

Tutte le volte che un visitatore tenta di accedere alla homepage del nostro sito viene rimandato al sito di Google, rendendolo praticamente inacessibile.

Joomla è un cms molto complesso, che permette a più persone di collaborare all’inserimento dei contenuti, si possono realizzare siti dove l’amministratore del sito non conosce chi scrive l’articolo (es article directory), tra gli autori può capitare che ci sia anche qualche “cattivo” che vuole danneggiare il sito.

Questo tipo di attacco prende il nome di attacco XXS o Cross-site scripting e va ben oltre all’esempio mostrato, sono a rischio tutti i siti dinamici open source e non, sfrutta le potenzialità di certi tag html che permettono l’esecuzione di codice.

N.B.
Il tag iframe (usato da YouTube per l’incorporamento dei video su altre pagine) non permette di far girare del codice, è anche possibile però richiamare contenuti maligni esterni al sito. Non è il caso di YouTube!!

Per evitare questo, il team di sviluppo di Joomla ha introdotto da tempo questi “blocchi” che possono essere spenti, o modificati dall’amministratore del sito.

Come aggirarli

Il sistema più semplice per inserire un video di YouTube sul proprio sito è quello di installare l’editor JCE e di dirgli di acettare i tag iframe. Questa soluzione risolve la maggior parte di problemi almeno per i siti in cui è l’amministratore o un appartenente al gruppo administrator ad inserire i contenuti, vedi siti vetrina. Nel caso in cui il sito sia gestito da più persone questa soluzione non è sufficiente.

Filtri in TinyMCE

Per chi usa come editor TinyMCE, (quello di default di Joomla), nelle sue configurazioni sono presenti dei filtri, che bloccano determinati tag html. Questi filtri sono attivi per tutti gli utenti indistintamente dal tipo di utente.

Per modificare l’elenco dei tag bloccati da TinyMCE, dobbiamo andare nella Gestione Plugin, nel back-end di Joomla si trova nel menu Estensioni sotto la voce Plugin.

Nella maschera che appare, andiamo a cercare il plugin Editor - TinyMCE, e lo modifichiamo cliccando sopra al nome del plugin.

Nella schermata che si apre andiamo alla voce Elementi proibiti e togliamo il tag iframe.

impostazione joomla filtro testo edito TinyMCE elementi proibiti

Filtri testo in Joomla

Joomla ha una serie di filtri personalizzabili per ogni livello utente. Possiamo accedere alla loro configurazione dal back-end di Joomla, e selezionare il menu Sito e cliccare sulla Voce Configurazione Globale e andare nella tab Filtri Testo.

joomla filtri testo

In questa maschera possiamo definire per ogni livello utente, filtri specifici, vediamoli nel dettaglio:

  • Black List predefinita
    Blocca i seuenti tag html: 'applet', 'body', 'bgsound', 'base', 'basefont', 'embed', 'frame', 'frameset', 'head', 'html', 'id', 'iframe', 'ilayer', 'layer', 'link', 'meta', 'name', 'object', 'script', 'style', 'title', 'xml' e i seguenti attributi: 'action', 'background', 'codebase', 'dynsrc', 'lowsrc' è possibile espandere la lista usando i campi Tag Filtro e Filtro Attributo.
  • Black List personalizzata
    Attraverso questa selezione è possibile creare la propria black List inserendo l’elenco dei tag e degli attributi nei relativi campi.
  • White List
    E’ possibile creare la lista dei soli tag e attributi ammessi, che andranno inseriti nei campi adiacenti
  • No Html
    Blocca tutti i tag html
  • Nessun filtro

Sarà sicuramente l’argomento di un prossimo post dove approfondirò ulteriormente la cosa, ma anche JCE ci permette di creare dei filtri, in modo ancora più selettivo, creando dei profili ad hoc, filtrando non solo per gruppo di utenti ma anche per singoli utenti.

Rimani aggiornato sulle potenzialità di questo fantastico cms iscrivendoti ai feed RSS o tweeter o alla fan page.

Se hai un dubbio su filtri di testo in Joomla non esitare a chiedere, lasciando un commento.

 

1 1 1 1 1 1 1 1 1 1 Punteggio 4.00 (1 Voto)
La Fabbrica del Web La Fabbrica del Web