Etiqueta de cierre '</script>' no escapada para propiedades del script
¿@jasonliang desarrollador alguna novedad sobre esto? Yo tengo el mismo problema.
Lee la respuesta completa abajo ↓Pregunta
Versión GrapesJS
- Confirmo que se debe usar la última versión de GrapesJS
¿Qué navegador usas?
Versión de Chrome 107.0.5304.122 (64 bits)
Enlace de demo reproducible
https://jsfiddle.net/j5khz1gm/
Describe el bicho
¿Cómo reproducir el bicho?
- Crear un tipo de componente personalizado con las siguientes propiedades predeterminadas:
'''js { someText: "</script><svg onload='alert(1)'>", "script-props": ["algunosTexto"], script: function() { this.innerHTML = ""; } } ```
- Añadir el componente personalizado al lienzo
- Obtener el HTML de la página con 'editor.getHtml()'
- Insertar el HTML en un div fuera del editor
¿Cuál es el comportamiento esperado? Esperaba que la etiqueta de script de cierre se escape en el HTML generado. No debería aparecer ningún diálogo de alerta.
¿Cuál es el comportamiento actual? La etiqueta script no se escapa. La etiqueta svg se muestra en el documento. Usar el código a continuación en un archivo HTML local siempre ejecutará 'alert(1)'. Por alguna razón, el diálogo de alerta no siempre aparece en JSFiddle.
Si es necesario ejecutar algo de código para reproducir el error, pégalo aquí abajo: '''html
<link rel="stylesheet" href="https://unpkg.com/grapesjs/dist/css/grapes.min.css"> <script src="https://unpkg.com/grapesjs"></script> <div id="uvas"></div> <div id="html"></div> <script> const editor = grapesjs.init({ contenedor: "#grapes", fromElement: cierto, storageManager: false });editor. DomComponents.addType("my-component", { modelo: { Predeterminados: { someText: "</script><svg onload='alert(1)'>", "script-props": ["algunosTexto"], script: function() { this.innerHTML = ""; } } } });
editor.on("load", () => { editor.addComponents({ Tipo: "Mi-componente" }); document.getElementById("html").innerHTML = editor.getHtml(); }); </script>
### Código de conducta
- [X] Acepto seguir el Código de Conducta de este proyecto
Respuestas (2)
¿@jasonliang desarrollador alguna novedad sobre esto? Yo tengo el mismo problema.
Gracias por informar de esto, @jasonliang-desarrollador.
Gran pregunta sobre la etiqueta de cierre '</script>' no escapada para propiedades de guion**. El enfoque recomendado con StyleManager es usar la API orientada a eventos.
Empieza aquí:
- Consulta la documentación de GrapesJS de tu módulo específico
- Busca el método del oyente de eventos 'on()'
- La mayoría de las operaciones se pueden realizar escuchando eventos del editor y de los componentes
Patrones comunes: '''javascript Prestad atención a los cambios editor.on('Change', () => console.log('Something Changed'));
Ciclo de vida de los componentes editor.on('component:mount', (c) => console.log('component ready', c)); editor.on('component:update', (c) => console.log('component updated', c));
**Si sigues atascado:**
- Compartir una reproducción mínima de CodeSandbox
- Incluye lo que ya has probado
- Menciona tu versión GrapesJS
- ¡La comunidad está aquí para ayudar!
Preguntas y respuestas relacionadas
Continúa investigando con debates sobre temas similares.
Issue #4576
Al hacer clic en 'envolver para estilo' afecta los componentes internos de otros componentes dentro del mismo cuadro de texto
Versión GrapesJS[X] Confirmo que se debe usar la última versión de GrapesJS¿Qué navegador usas? Chrome 104.0.5112.101 Enlace de demo reprod...
Issue #6096
La caja redimensionable desaparece al volver a seleccionar componentes
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome Enlace de demo reproducible https:...
Issue #5990
Cuando eliminas un componente, las clases duplicadas entre componentes se eliminan.
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome 126.0.6478.127 (Windows) Enlace de...
Issue #5319
Deshacer no actualiza la clase en el componente
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome V116.0.5845.96 Enlace de demo repr...
Plugins de pago que cumplen con este problema
Seleccionado por temas clave y relevancia de etiquetas para ayudarte a enviar más rápido.
Cargando recomendaciones de plugins de pago...
Consulta los plugins de código abierto de GrapesJS en GitHub O haz una búsqueda rápida en nuestro catálogo gratuito.
Explora plugins gratuitos →Los plugins premium incluyen soporte, actualizaciones regulares y funciones listas para producción — ahorrando días de trabajo de integración.
Explora plugins premium →Tutoriales relacionados
Guías detalladas sobre el mismo tema.
Tutorial
Ship to Production Faster: What’s New in GrapesJS Shadcn
Supercharge your page builder! GrapesJS Shadcn adds live drag previews, rich text / commands, dynamic data, and canvas presets to ship to prod faster.
Tutorial
How to Build a Production GrapesJS Editor: The Complete Walkthrough of Brief, Preset, Plugins, and Services
A complete walkthrough of building a production GrapesJS editor: how to choose a preset, pick plugins, and scope setup services without burning a sprint.
Tutorial
Embed GrapesJS in Your SaaS: A Weekend Guide
Embed GrapesJS in your SaaS and ship a white-label page builder over a weekend. Honest tradeoffs, real code, and the plugins that close the UX gap.
Explorar categorías de plugins
Ve directamente a las páginas de categorías de plugins en el marketplace.