Вход • Регистрация

В 7.3.1 не выводится видео с рутюба - в код при сохранении вкрячивается sandbox=""

  •
  • 05 февраля, четверг
  • Всем добрый день! Вставляю на страницу код с ролика на рутюбе. Вот такой:
    <iframe width="720" height="405" src="https://rutube.ru/play/embed/АДРЕС_РОЛИКА" frameborder="0" allow="clipboard-write; autoplay" webkitallowfullscreen="webkitallowfullscreen" mozallowfullscreen="mozallowfullscreen" allowfullscreen="allowfullscreen"></iframe>
    после нажатия Сохранить, на странице вот такой код и соответственно, чёрный прямоугольник вместо изображения:
    <iframe width="720" height="405" src="https://rutube.ru/play/embed/АДРЕС_РОЛИКА" frameborder="0" allow="clipboard-write; autoplay" webkitallowfullscreen="webkitallowfullscreen" mozallowfullscreen="mozallowfullscreen" allowfullscreen="allowfullscreen" sandbox=""></iframe>
    То есть в код вкрячивается sandbox="", из-за которого плеер не работает...
    Пробовал вставлять и через "вставить мультимедиа" в редакторе... Вставляем нормальный код, получаем вот такое:
    <iframe width="720" height="405" style="border: none;" src="https://rutube.ru/play/embed/АДРЕС_РОЛИКА" allow="clipboard-write; autoplay" allowfullscreen="allowfullscreen" sandbox=""></iframe>
    Пока что временное решение - делать через блок с дальнейшим выводом блока в соотв место, но это во первых маразм на каждое видео так заморачиваться, а во вторых тут тоже прикол - работает, только если блок создавать в режиме HTML кода. Как только переводим его в режим визуального редактора и сохраняем, получаем всё тот же довесок в виде sandbox="" и видео опять не выводится.
    Кто-нибудь с таким сталкивался? Есть какое то решение?
    •
    • 05 февраля, четверг
    • Неа.
      Вписываю код в режиме html, ессно, в описание страницы и все норм. А как иначе iframe в текст вставить?
      Если где-то через блоки делаю, то в код пишу
      <iframe width="720" height="405" src="https://rutube.ru/play/embed/динамический блок" frameborder="0" allow="clipboard-write; autoplay" webkitallowfullscreen="webkitallowfullscreen" mozallowfullscreen="mozallowfullscreen" allowfullscreen="allowfullscreen"></iframe>
      а в товаре или где там в динамический блок строкой вставляю только АДРЕС_РОЛИКА.
      •
      • 05 февраля, четверг , редакция: 05 февраля, четверг
      • Так вот проблема в том, что при сохранении страницы, в которую в режиме html вписан нормальный код, в него автоматически добавляется (прописывается) sandbox="", а это директива, которая блокирует выполнение скрипта... Вопрос в том, откуда это вообще берётся?
        А насчёт режимов - я в блоках создаю новый и в html режиме туда вбиваю код, сохраняю - всё работает. Но стоит только при уже вписанном коде перевести блок в режим виз редактора и сохранить, опять прилетает этот sandbox=""...
        А у вас тоже 7.3.1. и вы коды с видео без проблем выкладываете?
        •
        • 05 февраля, четверг
        • Версия 7.3.3 последняя.
          Я не снимаю галку редактировать в html. Но если снять, то да, получим то, что вы сказали.
          Вполне возможно, что это текстовый редактор хулиганит. Он любит всякую пакость в код добавлять самостоятельно.

          К примеру, вставляю код
          Код
          <insert name="show_links" module="site">

          перешла в режим обычного редактирования, сохранила, на выходе получила:
          Код
          <p><insert name="show_links" module="site"></insert></p>

          Т.е. текстовый редактор считает, что правильно писать так.
          •
          • 05 февраля, четверг
          • Отсюда вывод, что второй вариант предпочтительнее и динамический блок делать типом строка, чтобы никакая гадость больше не подсовывалась.
            Ну и динамический блок подрихтовать, стереть из файла лишнее, сделать шаблон отдельный под него можно.
            Будете так делать - пишите, еще пару моментов подскажу.
            •
            • 05 февраля, четверг
            • Александра, большое вам спасибо! Хотел для начала понять, только у меня такое или у всех. Раз и у вас так же, получается, это косяк скриптов движка... Печально... Долго ждал самую актуальную версию, чтобы всё по красоте было, а тут и с webp проблемы, а теперь еще и с элементарной выкладкой видео внеплановый геморрой... А это я еще только контент заливаю... Грустненько...
              •
              • 05 февраля, четверг
              • Цитата
                косяк скриптов движка

                Неверное замечание. Текстовый редактор - сторонняя разработка всегда была.
                Можно что-то другое прикрутить, но большинство из них платные.
              •
              • 06 февраля, пятница
              • Цитата
                это косяк скриптов движка... Печально... Долго ждал самую актуальную версию, чтобы всё по красоте было
                Надеюсь, ниже понятно объяснил, что это не косяк, а как раз актуальная и защищенная версия, которая автоматически заботится о безопасности сайта по красоте )

          • 06 февраля, пятница
          • Цитата
            <insert name="show_links" module="site"></insert>
            Т.е. текстовый редактор считает, что правильно писать так.

            Блин, да что с вами сегодня? )))
            Так считает спецификация XHTML и HTML5 туда же смотрит. Редактор лишь соблюдает стандарты и обеспечивает совместимость.
            Открывающий тег обязан иметь закрывающий тег! Если есть <p> значит обязан быть и </p> со слешем! Если тег одинокий, самозакрывающийся, то "закрывающий тег" ставится слешем внутри тега перед второй скобкой, вот так <br /> <hr /> <img /> и пр. В типичном HTML можно и просто <br>, но он и <br /> поймет (и тут пробел как раз для совместимости тега в HTML и HTML5 и XHTML), чтобы код был без ошибок во всех браузерах, андроидах всяких, мультиплатформенный был и пр.
            Если открыть insert и не закрыть его, HTML и старые браузеры ок, а XHTML ошибку плюнет. Закрывающий тег /insert для страховки, он никому не мешает, но он не лишний. Тини заботится о вас, а вы ядом плюётесь ) Ээх
            •
            • 06 февраля, пятница
            • Не кипишуй.
              Я просто товарищу на примере объясняла, откуда у него sandbox берется.

              Хотя иногда Текстовый редактор все же хулиганит и любит он подсовывать всякое бякое: неразрывные пробелы, спаны ни к селу ни к городу.
  •
  • 05 февраля, четверг
  • Согласен. Но если редактор в движке имеется (пусть и от сторонних разрабов), то предполагается, что он как бы должен быть рабочим. В предыдущих версиях никаких проблем со вставками на страницу кодов не было... Или хотя бы предупреждать надо, типа "Мы тут всё круто сделали, но, возможно, теперь вы не сможете выкладывать видео, или поимеете с этим массу геморроя, может, и еще что-то работать не будет...". Облом, честно говоря, с учетом планов и ожиданий, достаточно серьёзный...
    Закину на всякий случай информацию в ошибки.
  •
  • 05 февраля, четверг
  • Цитата
    То есть в код вкрячивается sandbox="", из-за которого плеер не работает...

    Ну да, новый тини добавляет к тегу iframe атрибут sandbox автоматически, если его нет. Это нормально и правильно, так как это безопасность. Атрибут sandbox
    Цитата
    позволяет установить ряд ограничений на контент загружаемый во фрейме, к примеру, блокировать формы и скрипты. Это позволяет повысить безопасность текущего документа, особенно в том случае, когда во фрейм загружается документ из непроверенного источника.

    Тини (визуальный редактор) находится в админке и доступен админу, редакторам, контент-менеджерам и т.д. Заходи, пиши, вставляй. И если какая-нибудь девочка вкрячит какой-нибудь iframe на страницу без sandbox, и в этот фрейм источник что-нибудь решит грузануть на своё усмотрение, ваш сайт станет окошком любых мошенников, злоумышленников и т.д. Поэтому, чтобы этого не было, Тини автоматически эти права у iframe рубит.
    Если уверены, что всё хорошо в iframe и в источнике видео с rutube, то поставьте туда sandbox="allow-top-navigation" и всё пропустится. Без сандбокса ставить iframe уже как-то даже неприлично
    •
    • 06 февраля, пятница
    • Виталий, добрый день! Я уж было зарадовался, что есть такое простое решение без геморроя с блоками (о котором, правда, нигде никаких предупреждений и ничего нигде не написано, а с телепатией у меня не особо...), да вот только не работает темка...
      Ставим sandbox="allow-top-navigation", сохраняем, на выходе получаем всё тот же sandbox="" и никто никуда не идёт...
      Может есть ещё какие-нибудь варианты? Просто для сотен роликов создавать сотни блоков "не совсем очень здорово"... Хотелось бы как-то через тини всё делать, как раньше. Я однозначно за безопасность в приоритете и сама по себе тема с sandbox просто шикарная, но и решение для беспроблемной вставки проверенных кодов должно быть. Если что, заранее огромное спасибо за помощь!
    •
    • 09 февраля, понедельник
    • Виталь, sandbox="allow-top-navigation" не работает. Попробуй в облаке или на демке.
  •
  • 06 февраля, пятница , редакция: 06 февраля, пятница
  • ИМХО, если человек занимается редактированием html документов, то стоит изучить этот самый html, чтобы в случае непонятной реакции редакторов можно было разобраться в чем проблема. Лично я предпочитаю отключенный редактор, из-за того что я не могу предсказать реакцию редактора на то что ввожу.
    А так можно вообще сделать шаблонный тег , специально под ваши цели. Например <insert name="show_head" link="ссылка на видео"> вставляете ссылку и дальше само определит видеохостинг и вставит соотвествующий код на страницу сайта, гарантируя корректность html кода и обработку различных ошибок...
  • 06 февраля, пятница
  • Да и сам редактор, если я не ошибаюсь, можно кастомизировать, добавляя новые и изменяя уже существующие функции.
  •
  • 06 февраля, пятница
  • Подскажите, плз, кто знает, в каком файле находится tinymce.init? Решение вроде есть - необходимые исключения прописать в параметр sandbox_iframes_exclusions
    Перелопатил почти все файлы в /adm/, так tinymce.init и не нашёл...
  •
  • 09 февраля, понедельник
  • /adm/htmleditor/tinymce7/config.js
    Код
    var tinyMCE_init = {
    config: {
    ...
    sandbox_iframes: false,
    ....
    • 09 февраля, понедельник
    • Проверил, работает
      • 09 февраля, понедельник
      • Спасибо, но что-то у меня так не получается. Сколько не вставлял и sandbox_iframes: false, и пробовал sandbox_iframes_exclusions: [ 'rutube.ru', ], всё равно при переходе в визуальный редактор подставляетcя sandbox="".
        Виталий, подскажите, плз, надо в какое-то конкретное место в коде вставлять? Перепробовал и сразу после selector: '.htmleditor', ставить, и в самом конце, и между остальных параметров ставить - не работает и всё тут...
      •
      • 09 февраля, понедельник
      • Проверил, работает со вставкой sandbox="allow-top-navigation"?
        Или поправил скрипт?

        http://alexa010533-99030.f1.gu3.ru/shop/bytovaya-khimiya/osvezhitel-vozdukha-freshwave/ видео не работает.
        Кстати, при переходе в визуальный редактор атрибут "allow-top-navigation" сам стирается.
        •
        • 09 февраля, понедельник
        • Цитата
          http://alexa010533-99030.f1.gu3.ru/shop/bytovaya-khimiya/osvezhitel-vozdukha-freshwave/ видео не работает

          А как ты на f1.gu3.ru залезла к файлам и поправила /adm/htmleditor/tinymce7/config.js? )
          Не залезла и не поправила же

          Цитата
          Или поправил скрипт?
          Ну а кого ж?
  •
  • 09 февраля, понедельник
  • Всё, вопрос закрыт, всё заработало! Видимо, в кеше скрипты застревали. Сейчас всё работает. Виталий, огромное спасибо!
    •
    • 09 февраля, понедельник
    • После чего заработало? Каких телодвижений?
      •
      • 12 февраля, четверг
      • Извините. с 9 февраля не заглядывал. Помогло то, что написал Виталий, а именно, в файл конфига тини /adm/htmleditor/tinymce7/config.js
        просто добавляется параметр sandbox_iframes: false,

        Код
        var tinyMCE_init = {
        config: {
        ...
        sandbox_iframes: false,
        ....


        До того, как у меня это сработало, я еще пробовал добавить рутюб в исключения по умолчанию в файле /adm/htmleditor/tinymce7/tinymce.min.js
        Там в дефолте прописаны и ютюб, и вимео, и кодепен и прочие буржуины. В файле ищется по sandbox_iframes_exclusions. После того, как увидел. что сработало полное отключение сэндбокса, эксперименты прекратил, но вообще, для безопасности лучше не полное отключение сэндбокса, а именно прописывание исключений.
    •
    • 09 февраля, понедельник
    • Цитата
      Видимо, в кеше скрипты застревали.

      Да, наверное, ctrl+F5 для верности тыкать надо всегда )

Новости

  • Окончание поддержки устаревших версий
  • 19 сентября 2025 г.
  • Мы внесли изменения в лицензию и объявляем, что прекращаем техническую консультационную поддержку сайтов на DIAFAN.CMS версий старше 7.0. А это все минорные версии платформы, предшествующие актуальной линейке, а именно: версии серии 4.x, 5.x, 6.x.
  • DIAFAN.CMS 7.3: обновлённое управление контентом с ИИ
  • 15 сентября 2025 г.
  • У нас отличные новости! Мы выпустили новую сборку DIAFAN.CMS 7.3, которая включает встроенные нейросети непосредственно в административной панели. Это значит, что создание контента для вашего сайта больше не будет проблемой — искусственный интеллект возьмет эту задачу на себя, избавляя вас от необходимости привлекать копирайтеров или тратить время на написание текстов самостоятельно.
  • Изменение тарифов Diafan.Cloud
  • 25 марта 2025 г.
  • Мы обновили систему тарифов, учитывая опыт работы с клиентами и современные рыночные условия. Новая тарифная сетка разработана специально для того, чтобы лучше отвечать вашим потребностям. Резкого повышения цен не произошло. Более того, некоторые тарифы даже стали выгоднее и доступнее. 
Все новости

Блоги

  • Обновление безопасности в DIAFAN.CMS 7.3
  • 10.09.2025

  • DIAFAN.CMS славится нагрузоустойчивостью и безопасностью, про инциденты со взломом сайта на нашей системе давненько не слышали, но недавно получили мы письмо от fstec.ru такого характера:

    Обнаружена уязвимость в CMS-системе DIAFAN, позволяющая нарушителю, действующему удалённо, красть сессионные куки через XSS-атаку.

Читать блоги

Форум

Перейти на форум