
<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Alright. Agreed, I seem to have missed that.<div>However, it just adds another templating language to learn, which is where we seem to rise another barrier for theming things more easily.</div><div><br></div><div>XSS injections and other security issues *must* be addressed inside the source code (preferably through PHP). If the bas code is crap, everything on top if it will only make things worse.</div><div><br></div><div><br></div><div>Stefan</div><div><br><div><div>Op 17 mrt. 2013, om 11:29 heeft Bernhard Posselt <<a href="mailto:nukeawhale@gmail.com">nukeawhale@gmail.com</a>> het volgende geschreven:</div><br class="Apple-interchange-newline"><blockquote type="cite">

  
    <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">

  
  <div text="#000000" bgcolor="#FFFFFF">

    <div class="moz-cite-prefix">Templating. If you want to bind unsafe

      content you have to specifically allow it

      <meta http-equiv="content-type" content="text/html;

        charset=ISO-8859-1">

      <a href="http://docs.angularjs.org/api/ng.directive:ngBindHtmlUnsafe">http://docs.angularjs.org/api/ng.directive:ngBindHtmlUnsafe</a><br>

      <br>

      On 03/16/2013 01:42 PM, Stefan Nagtegaal wrote:<br>

    </div>

    <blockquote cite="mid:7179237F-65DF-4D8A-AFF9-D907F5589E93@standoutdesign.nl" type="cite">

      <meta http-equiv="content-type" content="text/html;

        charset=ISO-8859-1">

      <div>And how does it prevent that?</div>

      <div><br>

      </div>

      <div><br>

        Verstuurd vanaf mijn iPhone</div>

      <div><br>

        Op 16 mrt. 2013 om 13:22 heeft Lukas Reschke <<a moz-do-not-send="true" href="mailto:lukas@owncloud.org">lukas@owncloud.org</a>>

        het volgende geschreven:<br>

        <br>

      </div>

      <blockquote type="cite">

        <div>

          <div dir="ltr">

            <div class="gmail_extra"><br>

              <div class="gmail_quote">On Sat, Mar 16, 2013 at 12:43 PM,

                Stefan Nagtegaal <span dir="ltr"><<a moz-do-not-send="true" href="mailto:development@standoutdesign.nl" target="_blank">development@standoutdesign.nl</a>></span>

                wrote:<br>

                <blockquote class="gmail_quote" style="margin:0px 0px

                  0px

0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">In

                  the manual is also written about AngularJS, which imo

                  is bad to use for templating. It's not fast enough,

                  and forces users to learn another way of writing code,

                  instead of just CSS/HTML and a small bit of JS.</blockquote>

              </div>

              <br>

              Can't judge about the speed nor if this is bad for

              templating, however AngularJS is really cool when it comes

              to security features and testing.</div>

            <div class="gmail_extra"><br>

            </div>

            <div class="gmail_extra">

              It prevents nearly all XSS vectors and fully supports

              Content-Security-Policy. (Which we've enabled with

              ownCloud 5.0)</div>

            <div class="gmail_extra"><br>

            </div>

            <div class="gmail_extra">Sure - the "right" way would be

              just to write secure code, however humans are not perfect

              and even the most experienced developers sometimes do

              wrong things ;-)</div>

            <div>

              <div><br>

              </div>

              -- <br>

              <div dir="ltr">ownCloud<br>

                Your Cloud, Your Data, Your Way!<br>

                <div><br>

                </div>

                <div>

                  <div>GPG: 0xEB32B77BA406BE99</div>

                </div>

              </div>

            </div>

          </div>

        </div>

      </blockquote>

      <blockquote type="cite">

        <div><span>_______________________________________________</span><br>

          <span>Owncloud mailing list</span><br>

          <span><a moz-do-not-send="true" href="mailto:Owncloud@kde.org">Owncloud@kde.org</a></span><br>

          <span><a moz-do-not-send="true" href="https://mail.kde.org/mailman/listinfo/owncloud">https://mail.kde.org/mailman/listinfo/owncloud</a></span><br>

        </div>

      </blockquote>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

Owncloud mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Owncloud@kde.org">Owncloud@kde.org</a>

<a class="moz-txt-link-freetext" href="https://mail.kde.org/mailman/listinfo/owncloud">https://mail.kde.org/mailman/listinfo/owncloud</a>

</pre>

    </blockquote>

    <br>

  </div>


_______________________________________________<br>Owncloud mailing list<br><a href="mailto:Owncloud@kde.org">Owncloud@kde.org</a><br>https://mail.kde.org/mailman/listinfo/owncloud<br></blockquote></div><br></div></body></html>