请求跟踪器中的格式化(HTML)用户签名?

请求跟踪器中的格式化(HTML)用户签名?

有没有办法在请求跟踪器中使用格式化的用户签名?我已经将模板设置为使用文本/html 消息。尝试将 HTML 标签添加到签名,但 < 被翻译为 <...

答案1

在 RT 4.2 中的当前代码中,这是不可能的。你可以在 https://github.com/bestpractical/rt/blob/stable/share/html/Elements/MessageBox

出于安全原因,作者将危险字符转义为 HTML 实体。

您可以通过复制此文件local/html/Elements/并注释掉这些行来修改此行为,但是这是一个巨大的安全风险。您允许用户在您的 RT 网站中包含代码。基本上,您正在创建一个持久的 XSS 漏洞 [1],任何用户都可以利用该漏洞(如果输出稍后未转义)。

[1]https://en.wikipedia.org/wiki/Cross-site_scripting#Persistent

相关内容