Łukasz Kosicki

any news in this ticket?

after add package below all starts work fine, why without this package pre call doesnt works on safari? ``` https://www.npmjs.com/package/webrtc-adapter ```

samo zbyt wiele nie da, jednym z wyjsc jest zamiana znakow `< > " ' ` tutaj masz inne przyklady ktore beda dzialac rownie dobrze ``` xxs link ```

w sekcji `Contact phones > Contact phone` jesli sie ustawi `0700" onload="alert(1)` to bedzie to poprawny bez uzywania `>

query selector: `#customeredit > table > tbody > tr:nth-child(1) > td > div:nth-child(1) > table > tbody > tr:nth-child(13) > td:nth-child(2) > fieldset > table > tbody > tr:nth-child(1) >...

nie nie, nie chodzilo mi o to ze to zadziala, bo sam ahref nie wspiera atrybutu onload i to sie w ogole nie wykona. To tylko przyklad jak bez uzywania...

z tego co widze to htmlpurifier ma whiteliste połączen tag-atrybut http://htmlpurifier.org/live/configdoc/plain.html#CSS.AllowedProperties ``` $configuration->set('HTML.Allowed', 'p,ul[style],ol,li'); $configuration->set('CSS.AllowedProperties', 'margin-left'); ``` mozna dozwolic ``, ale `` z attr src, lub onload juz bedzie wycinane

https://demo.lms.org.pl/?m=whdocuments&doctypefix=100">alert(1)

- macos bigsur 11.1 (20C69) - chrome Wersja 87.0.4280.141 (x86_64)

do kolekcji - ` https://demo.lms.org.pl/?m=rtqueueview&id=all&id%5B%5D=4&id%5B%5D=9&ts=all&tt=all&catid=all&s=-2&priority=all&owner=all&owner%5B%5D=all&vids=all&vids%5B%5D=all&r=&d=&unread=-1&parentids=&rights=0&nnids=all&pids=all&cid=&subject=xx%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E%3Cxx+a%3D%22&fromdate=&todate=` - https://demo.lms.org.pl/?m=useredit&id=16 m.in. pole first name i wszystkie miejsca ktore tej nazwy uzywaja do wyswietlania kto ostatnio modyfikowal zasob @awbnet dopiero teraz zauwazylem, dzieki -...