[Не поддерживается] [MMO] HTML in Custom User Titles 2.0.0

[Captain]

Captain добавил(а) новый ресурс:

[MMO] HTML in Custom User Titles - Возможность использовать HTML разметку в званиях пользователей

Установив данный плагин Вы сможете использовать HTML разметку в званиях пользователей.

Посмотреть вложение 84961
Посмотреть вложение 84962
Посмотреть вложение 84963

Узнать больше об этом ресурсе...

 

[Exile]

Новый аддон от "ООО Капитан Компани" и очередное препарирование.

    public function fnUserTitle($templater, &$escape, $user, $withBanner = false, $attributes = [])
    {
        $parent = parent::fnUserTitle($templater, $escape, $user, $withBanner, $attributes);
        $userIsValid = ($user instanceof \XF\Entity\User);
        if($userIsValid)
        {
            $customTitle = $user->custom_title;
            if ($customTitle)
            {
                return strip_tags($customTitle, \XF::options()->allowedTagsCustomTitles);
            }
        }
       
        return $parent;
    }

И вот вроде бы плагин из расширения одной функции состоит, но почему-то получилась собака на сене.

Получили результат выполнения родительской функции:

$parent = parent::fnUserTitle($templater, $escape, $user, $withBanner, $attributes);

Все хорошо, но вот беда - если у пользователя есть кастомное звание, вы результат работы родительской функции больше не вернете. Казалось бы мелочь, но если какое-то дополнение будет расширять эту же функцию, то дополнение "ООО Капитан Компани" просто перезатрет те изменения и будет диктовать свои условия. Так делать с учетом неограниченной расширяемости движка как минимум некорректно.

Ну и вишенка на тортике - описание

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

снова никто не читал.

Внимание
Эта функция не изменяет атрибуты тегов, разрешенных с помощью allowable_tags, включая такие атрибуты как style и onmouseover, которые могут быть использованы озорными пользователями при посылке текста, отображаемого также и другим пользователям.

Вот только пояснение - в данном контексте "озорные" пользователи через onmouseover просто XSS вставят.

Так что в этот раз не просто не понятно для чего, а еще и вредно.