我试图在Typo3 7.6中创建用户权限,以便用户可以简单地作为编辑器工作。对于他的部门,他有一个页面树的一部分。因此,他几乎可以专门创建文本和媒体。对于整个树的单个子页面,它还需要能够创建HTML元素。
根据我的个人逻辑,创建一个用户组(A)就足够了,所有通常的权利都将被涵盖。所以创建页面,文本和媒体。第二个用户组(B)然后只有显式权限才能创建HTML元素。在Access下,我在整个页面树中选择了一个组作为一个简单的编辑器(A),其中一个页面可能位于HTML上,但是第二个用户组(B)。
但现在看来,只要用户收到组B,就不仅允许为一个页面创建HTML,而且还允许为整个页面树创建HTML。我究竟做错了什么?怎么会这么想?
这不起作用。所有组的权限组合在一起,并且在任何页面上都是相同的。
一种可能的解决方案是使用扩展content_defender和不同的后端布局,用于允许HTML元素的页面。
正如旁注:允许编辑器HTML元素存在安全风险,因为编辑器也可以创建JavaScript,并且可以获得管理员权限和其他内容。因此我会非常小心并避免允许此元素用于管理员。