Textarea mit HTML Editor

Hallo zusammen
Bei diversen Textarea-Eingabefeldern auf meiner Website erhalten angemeldete Benutzer die Möglichkeit, Text einzufügen. Dieser Text kann mit dem Editor formatiert werden. Leider können keine Links (Webseiten-URLs) eingefügt werde, die mit Klick geöffnet werden.
Gibt es eine Möglichkeit dies trotzdem möglich zu machen?
Wäre dies ein «Feature» für eine nächste Version?
Vielen Dank für Antworten und beste Grüsse Josef
 

Hallo Josef,

wir setzen in Visforms den zugegeben äußerst mächtigen Editor tinyMCE nur deshalb ein, damit Text formatiert werden kann.

Unter den vielen möglichen Editor-Features sind eine Menge enthalten, die wir an zahlreichen Stellen in Visforms nicht unterstützen können oder wollen.

Diese nicht unterstützten Editor-Features würden Verwirrung und technische Probleme bereiten, etwa wenn diese Texte in Mails, PDF etc. zur Anzeige kämen.

Daher konfigurieren/initialisieren wir den Editor für die Verwendung in Visforms so, dass er wie beschrieben für die reine Text-Bearbeitung passt.

Und zur Übermittlung von Links im speziellen, gibt einen eigenen Feldtyp 'URL'.

Liebe Grüße, Ingmar

Besten Dank für deine Antwort, Ingmar!
Das URL-Feld benutze ich z. B. für den Hauptlink, aber bei diversen Textareas wäre die Möglichkeit eines verlinkten Verweises/Hinweises eine echte Bereicherung.
Einfach etwas Ähnliches wie hier im Forum für Links auch verwendet wird und Texte übersichtlicher und benutzerfreundlicher macht.
Da die Entscheidung über den Einsatz des HTML-Editors sowieso beim Admin/Ersteller des Formulares ist wäre diese Ausweitung mit dem HTML-Element «a» ein Gewinn.

Viele Grüsse Josef

Hallo Josef,

Visforms ist eine gegen böswillige Hacker-Attacken abgesicherte Komponente.
Dieses hohe Cyber-Security von Visforms wird von uns selbst durch einschlägige Tools automatisiert getestet und sichergestellt.
Ein sehr gutes und verbreitetes Tool ist 'Ghauri':
github.com/r0oth3x49/ghauri

Außerdem wird Visforms immer wieder auch durch Großkunden, die es sich leisten können und müssen, bei internen Assessments auf Cyber-Security hin intensiv untersucht und getestet.

Unter anderem daraus resultierten etwa die letzten beiden Sicherheits-Updates der Subscription.
Subscription 4.4.1 Security Release:
docs.joomla-5.visforms.vi-solutions.de/u...5/sub-version-4-4-1/
Subscription 4.4.2 Security Release:
docs.joomla-5.visforms.vi-solutions.de/u...5/sub-version-4-4-2/

Nun zur Verwendung eines, durch einen Seiten-Benutzer mehr oder weniger frei gestaltbaren, HTML-Anchor Elements in einer HTML-Textarea im Frontend.
Es geht um die Validierung des Inhaltes auf möglichen Missbrauch, den ein Bösewicht aus einem Ankertag machen könnte.

Und diese sichere Validierung gegen böswilligen Manipulation ist extrem aufwendig, zumal die HTML-Textarea an so vielen Stellen in ganz unterschiedlichen Kontexten dargestellt wird.
Diese Verantwortung können wir als Visforms-Herausgeber auch nicht einfach mal so auf einen 'unbekannten Fremden' übertragen, nur weil er eben grade mal in der Rolle eines Administrators einer Webseite die Möglichkeit hat, eventuell ohne größere Bedenken und Überlegung, kurzerhand eine unauffällige Feld-Option (Erlaube Anchor-HTML) in der Feld-Konfiguration umstellt.

Das Feature ist aber schon auch extrem nützlich und wir stimmen mit dir dahingehend überein.
Wir werden es Evaluieren und eventuell umsetzen, was ich aber an dieser Stelle noch nicht versprechen kann.
Ich habe deswegen einen Issue zur Entwicklung in der Wunschliste angelegt:
Issue [VF-1097] Forum: New Feature: Allow HTML anchor Element <a> in text-editor for textareas

Wenn wir das neue Feature releasen, wirst du explizit über das Release hier im Thema informiert.
Vielen Dank für deinen Vorschlag!

Nur kurz einige wesentliche Punkte, was bei einem Anchor-HTML Element alles zu beachten ist.
Die Validierung erfordert das Einbinden zusätzlicher Bibliotheken, denen wiederum vertraut werden muss.
Und das Feature muss vor einem Release auf Sicherheit getestet werden.

1 - Damit könnte ein externes Skript ausgeführt werden.
<a href="http://external/website/js/function">Dummy-Text

2 - Ein Schurke könnte einfach eine unserer eigenen JS-Funktionen innerhalb der Ursprungsdomäne ausführen.
<a href=javascript::postMethodByMistakeDeclaredInGlobalScope();">Verstanden!</a>
<a href = "#" onclick = "myobj.myfunction()">Dummy-Text</a>

3 - Links zu Ursprungs-übergreifenden Zielen sind unsicher.
Wenn du mithilfe des target="_blank"-Attributs auf eine Seite einer anderen Website verlinkst, kann dies Leistungs- und Sicherheitsprobleme auf deiner Website verursachen.
3a - Die andere Seite wird möglicherweise mit demselben Prozess ausgeführt wie deine Seite.
Wenn auf der anderen Seite viel JavaScript ausgeführt wird, kann dies die Leistung deiner Seite verschlechtern.
3b - Die andere Seite kann mit der window.opener-Eigenschaft auf das window-Objekt zugreifen.
Dies kann dazu führen, dass die andere Seite deine Seite an eine schädliche URL weiterleitet.

Liebe Grüße, Ingmar

Hallo Ingemar
herzlichen Dank für deine ausführliche Antwort.
Ich gebe zu, dass ich die evtl. Tragweite eines solchen Features nicht richtig abschätzen kann und konnte, deine Erklärung hilft dies ansatzweise zu verstehen.
Und ich finde es toll, dass da an eine spätere Einführung gedacht wird, denn wie wir uns einig sind: nützlich wäre eine solche Möglichkeit schon ;–)
Nochmals besten Dank und liebe Grüsse
Josef

PS: grosses Kompliment an euch: finde mich bei allen Fragen (es ist ja nicht die Erste) ernst genommen!

Hallo Josef,

vielen Dank für dein großes Lob für unsere Arbeit hier im Forum!
Diese Anerkennung freut uns sehr.

Liebe Grüße, Ingmar