Handbuch:$wgRawHtml
| HTML: $wgRawHtml | |
|---|---|
Erlaube rohes, ungeprüftes HTML in <html>...</html> Abschnitten. |
|
| Eingeführt in Version: | 1.3.4 |
| Entfernt in Version: | weiterhin vorhanden |
| Erlaubte Werte: | Boolescher Wert |
| Standardwert: | false |
| Andere Einstellungen: Alphabetisch | Nach Funktion | |
Details
Fügen Sie $wgRawHtml = true; in die Datei LocalSettings.php in Ihrem MediaWiki-Hauptverzeichnis ein, und im Wiki können Sie unkontrolliertes Roh-HTML einfügen.
Sie müssen Ihr HTML jedoch in die <html>...</html> Tags einbetten, damit MediaWiki es unterscheiden kann.
 Warnung: | This is very dangerous on a publicly editable site, because it allows for arbitrary JavaScript code to be inserted, opening the door for session hijacking. Daher sollten Sie RohHtml nur aktivieren, wenn Sie die Bearbeitung nur mit $wgGroupPermissions auf vertrauenswürdige Benutzer beschränkt haben Weitere Informationen zum Einschränken des Schreibzugriffs finden Sie unter Zugriff verhindern. |
<html>...</html> Tags behandelt wird.| MediaWiki Version: | ≥ 1.29 |
Seit MediaWiki 1.29 hat das unformatierte HTML-Tag im Namespace 8 (MediaWiki) keine Auswirkung: phabricator:T156184.
Ist das Aktivieren von Roh-HTML erforderlich?
Einige HTML-Tags sind in Wikitext sogar mit $wgRawHtml = false zulässig.
Siehe m:Help:HTML in wikitext.
Die überwiegende Mehrheit der ausgefallenen Formatierungen auf Wikimedia-Websites wird mit diesen eingeschränkten Tags (z. B. Tabellen mit Tags im CSS-Stil) erzielt.
Wenn Sie mit diesen Einschränkungen auskommen können (lassen Sie $wgRawHtml = false), ist Ihr Wiki sicherer.
Beachten Sie auch, dass die 'eingeschränkte' Wiki-Syntax tatsächlich ein bewusstes Designmerkmal von Wikis ist. Es handelt sich um ein kompaktes, vereinfachtes Markup, das selbst für nicht technische Benutzer leicht verständlich ist, leicht in Diff-Displays dargestellt werden kann und das stilistische Basteln zugunsten des Schreibens nützlicher/interessanter Texte verhindert.
Verwandte Erweiterungen
Es gibt eine Reihe von Erweiterungen, die mehr HTML-Flexibilität bei gleichzeitiger Verbesserung der Sicherheitslage versprechen.
Einige erfordern das Festlegen von $wgRawHtml = true in Verbindung mit der Verwendung der Erweiterung, während andere eine Alternative bieten.
| Extension | Status | Description |
|---|---|---|
| Extension:HTMLets | unmaintained | allows pre-defined HTML snippets with $wgRawHtml = false;
|
| Extension:HTML Tags | stable | allows for adding HTML from a set of tags and attributes defined in the wiki's settings |
| Extension:Secure HTML | unmaintained | adds 'Secret key' protection for html sections |
| Extension:SaferHTMLTag | stable, has known security vulnerability | prevents edition of pages that contain the <html> tag by unauthorized users and groups
|
| Extension:HTMLPurifier | beta | allows users to input raw HTML by using HTML Purifier to sanitize it |
| Erweiterung:NamespaceHTML | unmaintained, has known security vulnerability | allows raw HTML in specified namespaces |
| Extension:Widgets | stable | allows for defining HTML- and JavaScript-based "widgets", with optional parameters |
Eine andere Möglichkeit, benutzerdefiniertes HTML in Ihren Wiki-Artikeln anzuzeigen, besteht darin, eine eigene tag-extension zu entwickeln.
Versuchen Sie nicht, eine Erweiterung zu entwickeln, die beliebigen HTML-Code zulässt. Andernfalls gelten dieselben schwerwiegenden Sicherheitsprobleme wie beim Festlegen von $wgRawHtml = true.