MDL-23916 JS now allowed on private /my/ pages again
[moodle.git] / blocks / html / edit_form.php
index 8621361..05b52fd 100644 (file)
@@ -37,13 +37,9 @@ class block_html_edit_form extends block_edit_form {
         $mform->addElement('text', 'config_title', get_string('configtitle', 'block_html'));
         $mform->setType('config_title', PARAM_MULTILANG);
 
-        // prevent potential XSS on user profile pages
-        $parentcontext = get_context_instance_by_id($this->block->instance->parentcontextid);
-        $noclean = ($parentcontext->contextlevel != CONTEXT_USER);
-
-        $editoroptions = array('maxfiles' => EDITOR_UNLIMITED_FILES, 'noclean'=>$noclean, 'context'=>$this->block->context);
+        $editoroptions = array('maxfiles' => EDITOR_UNLIMITED_FILES, 'noclean'=>true, 'context'=>$this->block->context);
         $mform->addElement('editor', 'config_text', get_string('configcontent', 'block_html'), null, $editoroptions);
-        $mform->setType('config_text', PARAM_RAW); // no XSS prevention here, users must be trusted
+        $mform->setType('config_text', PARAM_RAW); // XSS is prevented when printing the block contents and serving files
     }
 
     function set_data($defaults) {