MDL-23916 JS now allowed on private /my/ pages again
[moodle.git] / blocks / html / block_html.php
index de223ba..d565d88 100755 (executable)
@@ -92,11 +92,24 @@ class block_html extends block_base {
     }
 
     function content_is_trusted() {
+        global $SCRIPT;
+
         if (!$context = get_context_instance_by_id($this->instance->parentcontextid)) {
             return false;
         }
-        //find out if this block is on the profile page - we must not allow any XSS there in case admin uses login-as feature
-        return ($context->contextlevel != CONTEXT_USER);
+        //find out if this block is on the profile page
+        if ($context->contextlevel == CONTEXT_USER) {
+            if ($SCRIPT === '/my/index.php') {
+                // this is exception - page is completely private, nobody else may see content there
+                // that is why we allow JS here
+                return true;
+            } else {
+                // no JS on public personal pages, it would be a big security issue
+                return false;
+            }
+        }
+
+        return true;
     }
 
     /**