added rex_escape and events und readme gedöns

[skerbis]

Summary by CodeRabbit

• Neue Funktionen

  • Verbesserte Anweisungen zur Integration von CSS und JavaScript für die Videoeinbettungsfunktion.
  • Einführung eines umfassenden Übersetzungsformats für die Benutzeroberfläche des Video-Players in mehreren Sprachen.
  • Hinzugefügt: Abschnitt zur Cookie-Zustimmung mit JavaScript-Snippets.

• Sicherheitsverbesserungen

  • Eingabesanitärmaßnahmen zur Vermeidung von XSS-Anfälligkeiten in der Video-Klasse.

• Dokumentation

  • Aktualisierte README.md mit neuen Anweisungen und einem Abschnitt über Cookie-Zustimmung.

[coderabbitai]

Walkthrough

Die Änderungen umfassen die Aktualisierung der README.md, um Anweisungen zur Integration von CSS- und JavaScript-Dateien für die Videoeinbettungsfunktion bereitzustellen. Zudem wurde eine neue Datei assets/translations.json eingeführt, die Übersetzungen für die Benutzeroberfläche des Video-Players in mehreren Sprachen enthält. Der Code in assets/vidstack_helper.js wurde umstrukturiert, um die Verwaltung von Benutzerzustimmungen zu verbessern und Übersetzungen dynamisch zu laden. Schließlich wurden im lib/video.php Sicherheitsverbesserungen durch Eingabesanitärung implementiert.

Changes

Datei	Änderungszusammenfassung
README.md	Einführung zusätzlicher Anweisungen zur Integration von CSS und JS für Videoeinbettung; neue Sektion zu Cookie-Zustimmungen.
assets/translations.json	Neue Datei mit Übersetzungen für Video-Player-Funktionen in mehreren Sprachen (de, en, fr, sl, es).
assets/vidstack_helper.js	Code-Refaktorisierung zur Verbesserung der Zustimmungsverwaltung; Einführung asynchroner Übersetzungen und neuer Funktionen.
lib/video.php	Sicherheitsverbesserungen durch umfassende Eingabesanitärung in der Video-Klasse, um XSS-Anfälligkeiten zu verhindern.

Possibly related PRs

• consent anders #8: Die Änderungen in assets/vidstack_helper.js, die sich auf die Zustimmungsverwaltung und dynamische Übersetzungen beziehen, stehen in direktem Zusammenhang mit den Modifikationen in der README.md, die die Bedeutung der Zustimmung für Video-Dienste betonen.

Poem

🐰 In einem Garten voller Licht,
Wo Videos tanzen, das ist die Sicht.
Mit Cookies und Zustimmungen, so fein,
Lassen wir die Nutzer glücklich sein.
Übersetzungen fliegen, ganz geschwind,
Ein neues Kapitel, das Freude bringt! 🌼

---

Thank you for using CodeRabbit. We offer it for free to the OSS community and would appreciate your support in helping us grow. If you find it useful, would you consider giving us a shout-out on your favorite social media?

❤️ Share

• X
• Mastodon
• Reddit
• LinkedIn

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Generate unit testing code for this file.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query. Examples:
  • @coderabbitai generate unit testing code for this file.
  • @coderabbitai modularize this function.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read src/utils.ts and generate unit testing code.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.
  • @coderabbitai help me debug CodeRabbit configuration file.

Note: Be mindful of the bot's finite context window. It's strongly recommended to break down tasks such as reading entire modules into smaller chunks. For a focused discussion, use review comments to chat about specific files and their changes, instead of using the PR comments.

CodeRabbit Commands (Invoked using PR comments)

• @coderabbitai pause to pause the reviews on a PR.
• @coderabbitai resume to resume the paused reviews.
• @coderabbitai review to trigger an incremental review. This is useful when automatic reviews are disabled for the repository.
• @coderabbitai full review to do a full review from scratch and review all the files again.
• @coderabbitai summary to regenerate the summary of the PR.
• @coderabbitai resolve resolve all the CodeRabbit review comments.
• @coderabbitai configuration to show the current CodeRabbit configuration for the repository.
• @coderabbitai help to get help.

Other keywords and placeholders

• Add @coderabbitai ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Documentation and Community

• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[coderabbitai]

Actionable comments posted: 5

🧹 Outside diff range and nitpick comments (7)

assets/translations.json (1)

2-146: Überprüfung der Anredeform in allen Übersetzungen empfohlen

Die Übersetzungen sind umfassend und scheinen korrekt zu sein. Es fällt jedoch auf, dass in einigen Sprachen eine formelle Anrede verwendet wird (z.B. im Deutschen "Sie"), während andere Sprachen eine informellere Anrede nutzen. Es wäre ratsam, die Anredeform über alle Sprachen hinweg zu standardisieren, um eine konsistente Benutzererfahrung zu gewährleisten.

Bitte überprüfen Sie die Anredeform in allen Übersetzungen und entscheiden Sie sich für einen einheitlichen Stil (formell oder informell) für alle Sprachen.

lib/video.php (3)

Line range hint 94-114: Sicherheitsverbesserungen in generateFull und kleiner Verbesserungsvorschlag

Die konsequente Anwendung von rex_escape für Titel, Plattform, Video-ID und Beschriftungen ist eine ausgezeichnete Sicherheitsverbesserung. Dies schützt vor XSS-Angriffen und stellt sicher, dass alle dynamischen Inhalte sicher gerendert werden.

Ein kleiner Verbesserungsvorschlag zur Konsistenz:

In Zeile 96 könnte die Verkettung des Strings konsistent mit den anderen Zeilen gestaltet werden:

-        $code = "<div class=\"video-container\" role=\"region\" aria-label=\"" . rex_escape($this->getText('a11y_video_player')) . "\">";
+        $code = "<div class=\"video-container\" role=\"region\" aria-label=\"" . rex_escape($this->getText('a11y_video_player')) . "\">"
+               . "";

Dies würde die Lesbarkeit verbessern und die Struktur mit den anderen Codezeilen in Einklang bringen.

---

153-153: Verbesserte Sicherheit in generateAttributesString und Vorschlag zur Lesbarkeit

Die Anwendung von rex_escape auf sowohl Attributnamen als auch -werte ist eine wichtige Sicherheitsverbesserung. Dies verhindert XSS-Angriffe durch bösartig gestaltete Attribute.

Ein Vorschlag zur Verbesserung der Lesbarkeit:

Die Zeile könnte für bessere Lesbarkeit aufgeteilt werden:

-            return $carry . (is_bool($value) ? ($value ? " " . rex_escape($key) : '') : " " . rex_escape($key) . "=\"" . rex_escape($value) . "\"");
+            if (is_bool($value)) {
+                return $carry . ($value ? " " . rex_escape($key) : '');
+            }
+            return $carry . " " . rex_escape($key) . "=\"" . rex_escape($value) . "\"";

Dies würde die Logik klarer machen, ohne die Funktionalität zu ändern.

---

Line range hint 1-164: Zusammenfassung: Erhebliche Verbesserung der Sicherheit

Die durchgeführten Änderungen stellen eine signifikante Verbesserung der Sicherheit der Video-Klasse dar. Die konsequente Anwendung von rex_escape auf alle dynamischen Inhalte schützt effektiv vor XSS-Angriffen und anderen Injection-Vulnerabilitäten. Die Implementierung zeigt ein gutes Verständnis für Sicherheits-Best-Practices.

Ein Vorschlag für eine mögliche weitere Verbesserung:

Erwägen Sie die Einführung einer zentralen Methode für das Escaping, die in der gesamten Klasse verwendet werden kann. Dies könnte die Konsistenz weiter verbessern und zukünftige Wartung erleichtern. Zum Beispiel:

private function escape($value, $flags = ENT_QUOTES): string
{
    return rex_escape($value, $flags);
}

Diese Methode könnte dann durchgängig in der Klasse verwendet werden, was die Lesbarkeit verbessert und es einfacher macht, das Escaping-Verhalten in Zukunft anzupassen, falls nötig.

README.md (3)

13-29: Gute Ergänzung der Frontend-Integrationsanweisungen.

Die neuen Informationen zur Einbindung der CSS- und JS-Dateien sind sehr nützlich für die Benutzer. Der Unterschied zwischen den Methoden generateFull() und generate() wird gut erklärt.

Erwägen Sie, den Satz in Zeile 26 etwas formeller zu formulieren:

-Wer nur `generate()` verwendendet, viel Spaß ohne. Denn die ``generate()` liefert keine Consent-Abfrage oder zusätzliche Infos für die Besucher. 
+Wer nur `generate()` verwendet, erhält keine Consent-Abfrage oder zusätzliche Informationen für die Besucher.

🧰 Tools

🪛 LanguageTool

[style] ~26-~26: ‚Infos‘ ist umgangssprachlich.
Context: ... keine Consent-Abfrage oder zusätzliche Infos für die Besucher. Alles findet sich n...

(MATHE)

🪛 Markdownlint

15-15: Punctuation: ':'
Trailing punctuation in heading

(MD026, no-trailing-punctuation)

---

236-247: Gute Ergänzung der Autoreninfos.

Die Hinzufügung der Autoreninfos ist eine wichtige Ergänzung zur Dokumentation. Es ist gut, dass sowohl Friends Of REDAXO als auch der Projektleiter erwähnt werden.

Zur Verbesserung der Konsistenz und Lesbarkeit empfehle ich folgende Formatierungsänderungen:

1. Verwenden Sie einheitliche Aufzählungszeichen für die Links.
2. Fügen Sie eine leere Zeile zwischen den Abschnitten ein.

Hier ein Vorschlag:

## Autor

**Friends Of REDAXO**

- http://www.redaxo.org
- https://github.com/FriendsOfREDAXO

**Projektleitung**

[Thomas Skerbis](https://github.com/skerbis)

🧰 Tools

🪛 LanguageTool

[uncategorized] ~241-~241: Das sieht falsch platziert oder unnötig aus. Überlegen Sie, es zu löschen.
Context: ...nds Of REDAXO** * http://www.redaxo.org * https://github.com/FriendsOfREDAXO **Pr...

(AI_DE_GGEC_UNNECESSARY_SPACE_)

🪛 Markdownlint

241-241: Expected: dash; Actual: asterisk
Unordered list style

(MD004, ul-style)

---

242-242: Expected: dash; Actual: asterisk
Unordered list style

(MD004, ul-style)

---

241-241: null
Bare URL used

(MD034, no-bare-urls)

---

242-242: null
Bare URL used

(MD034, no-bare-urls)

---

239-239: null
Emphasis used instead of a heading

(MD036, no-emphasis-as-heading)

---

244-244: null
Emphasis used instead of a heading

(MD036, no-emphasis-as-heading)

---

Line range hint 1-247: Kleinere Verbesserungen basierend auf statischer Analyse.

Basierend auf den Ergebnissen der statischen Analyse gibt es einige kleinere Punkte, die verbessert werden könnten:

1. In Zeile 26 könnte "Infos" durch "Informationen" ersetzt werden, um einen formelleren Ton zu wahren.
2. Die URLs in den Zeilen 241 und 242 sollten in Markdown-Links umgewandelt werden, um bare URLs zu vermeiden. Beispiel:

   - [REDAXO Website](http://www.redaxo.org)
   - [FriendsOfREDAXO auf GitHub](https://github.com/FriendsOfREDAXO)

3. Überlegen Sie, ob Sie die Anzahl der Ausrufezeichen im Dokument reduzieren möchten, um einen professionelleren Ton zu wahren.

🧰 Tools

🪛 LanguageTool

[uncategorized] ~217-~217: Fehlendes Komma: Teilsätze, Einschübe, Aufzählungen und direkte Rede müssen durch ein Komma vom Rest des Satzes getrennt werden.
Context: ... oder Youtube setzen. Wer keine Cookies erlaubt bekommt halt Local-Storage 😉. ```js <...

(AI_DE_HYDRA_LEO_MISSING_COMMA__)

---

[style] ~234-~234: Die Verwendung vieler Ausrufezeichen wirkt oft übertrieben. (Hier: 8 Ausrufezeichen bei 3570 Zeichen Text.)
Context: ...und coole Videos)! Viel Spaß beim Coden! 🚀👩‍💻👨‍💻 ## Autor **Friends Of R...

(DE_EXCESSIVE_EXCLAMATION)

---

[uncategorized] ~241-~241: Das sieht falsch platziert oder unnötig aus. Überlegen Sie, es zu löschen.
Context: ...nds Of REDAXO** * http://www.redaxo.org * https://github.com/FriendsOfREDAXO **Pr...

(AI_DE_GGEC_UNNECESSARY_SPACE_)

🪛 Markdownlint

241-241: Expected: dash; Actual: asterisk
Unordered list style

(MD004, ul-style)

---

242-242: Expected: dash; Actual: asterisk
Unordered list style

(MD004, ul-style)

---

241-241: null
Bare URL used

(MD034, no-bare-urls)

---

242-242: null
Bare URL used

(MD034, no-bare-urls)

---

239-239: null
Emphasis used instead of a heading

(MD036, no-emphasis-as-heading)

---

244-244: null
Emphasis used instead of a heading

(MD036, no-emphasis-as-heading)

📜 Review details

Configuration used: CodeRabbit UI
Review profile: CHILL

📥 Commits

Files that changed from the base of the PR and between fd86d6b and 2856311.

📒 Files selected for processing (4)

• README.md (2 hunks)
• assets/translations.json (1 hunks)
• assets/vidstack_helper.js (1 hunks)
• lib/video.php (5 hunks)

🧰 Additional context used

🪛 LanguageTool

README.md

[style] ~26-~26: ‚Infos‘ ist umgangssprachlich.
Context: ... keine Consent-Abfrage oder zusätzliche Infos für die Besucher. Alles findet sich n...

(MATHE)

---

[uncategorized] ~217-~217: Fehlendes Komma: Teilsätze, Einschübe, Aufzählungen und direkte Rede müssen durch ein Komma vom Rest des Satzes getrennt werden.
Context: ... oder Youtube setzen. Wer keine Cookies erlaubt bekommt halt Local-Storage 😉. ```js <...

(AI_DE_HYDRA_LEO_MISSING_COMMA__)

---

[style] ~234-~234: Die Verwendung vieler Ausrufezeichen wirkt oft übertrieben. (Hier: 8 Ausrufezeichen bei 3570 Zeichen Text.)
Context: ...und coole Videos)! Viel Spaß beim Coden! 🚀👩‍💻👨‍💻 ## Autor **Friends Of R...

(DE_EXCESSIVE_EXCLAMATION)

---

[uncategorized] ~241-~241: Das sieht falsch platziert oder unnötig aus. Überlegen Sie, es zu löschen.
Context: ...nds Of REDAXO** * http://www.redaxo.org * https://github.com/FriendsOfREDAXO **Pr...

(AI_DE_GGEC_UNNECESSARY_SPACE_)

🪛 Markdownlint

README.md

15-15: Punctuation: ':'
Trailing punctuation in heading

(MD026, no-trailing-punctuation)

---

241-241: Expected: dash; Actual: asterisk
Unordered list style

(MD004, ul-style)

---

242-242: Expected: dash; Actual: asterisk
Unordered list style

(MD004, ul-style)

---

241-241: null
Bare URL used

(MD034, no-bare-urls)

---

242-242: null
Bare URL used

(MD034, no-bare-urls)

---

239-239: null
Emphasis used instead of a heading

(MD036, no-emphasis-as-heading)

---

244-244: null
Emphasis used instead of a heading

(MD036, no-emphasis-as-heading)

🪛 Biome

assets/vidstack_helper.js

[error] 16-16: Change to an optional chain.

Unsafe fix: Change to an optional chain.

(lint/complexity/useOptionalChain)

🔇 Additional comments (9)

assets/translations.json (2)

1-147: Gut strukturierte Übersetzungsdatei!

Die JSON-Datei ist gut organisiert und folgt den Best Practices für Übersetzungsdateien. Die Verwendung von ISO 639-1-Sprachcodes und die konsistente Struktur über alle Sprachen hinweg erleichtern die Wartung und Erweiterung.

---

1-147: Vollständige und konsistente Übersetzungen

Alle Sprachen enthalten den gleichen Satz an Schlüsseln, und es sind keine fehlenden Übersetzungen erkennbar. Dies gewährleistet eine einheitliche Benutzererfahrung über alle unterstützten Sprachen hinweg.

lib/video.php (6)

5-5: Gute Praxis: Explizite Verwendung von rex_escape

Die Hinzufügung von use rex_escape; ist eine gute Praxis. Es macht die Verwendung der Funktion im Code explizit und verbessert die Lesbarkeit.

---

52-55: Verbesserte Sicherheit durch Escaping in setA11yContent

Die Verwendung von rex_escape für den Beschreibungstext, den alternativen Ansichtstext und die URLs ist eine wichtige Sicherheitsverbesserung. Dies verhindert potenzielle Cross-Site-Scripting (XSS) Angriffe, indem sichergestellt wird, dass alle dynamischen Inhalte korrekt escaped werden, bevor sie in das HTML eingefügt werden.

---

121-121: Verbesserte Sicherheit bei der Untertitelverarbeitung

Die Anwendung von rex_escape auf alle Untertitel-Attribute (src, kind, label, srclang) ist eine wichtige Sicherheitsverbesserung. Dies verhindert potenzielle XSS-Angriffe, die durch manipulierte Untertiteldateien möglich wären, und stellt sicher, dass alle Attribute sicher in das HTML eingefügt werden.

---

123-127: Sicherheitsverbesserungen bei Thumbnails und Barrierefreiheit

Die Anwendung von rex_escape auf die Thumbnail-URL und die Beschriftung für Barrierefreiheit ist eine wichtige Sicherheitsmaßnahme. Dies verhindert potenzielle XSS-Angriffe durch manipulierte URLs oder Beschriftungen und gewährleistet, dass diese Inhalte sicher in das HTML eingefügt werden. Gute Arbeit bei der konsistenten Anwendung von Sicherheitsmaßnahmen.

---

138-143: Umfassende Sicherheitsverbesserungen in der generate-Methode

Die konsequente Anwendung von rex_escape auf Titel, Quell-URL, Beschriftungen und Untertitel-Attribute in der generate-Methode ist eine hervorragende Sicherheitsverbesserung. Dies stellt sicher, dass alle dynamischen Inhalte sicher gerendert werden und schützt vor verschiedenen Arten von Injection-Angriffen. Die konsistente Implementierung dieser Sicherheitsmaßnahmen ist lobenswert.

---

159-161: Umfassende Sicherheitsverbesserungen im Consent-Placeholder

Die konsequente Anwendung von rex_escape auf Plattform, Video-ID, Zustimmungstext und Button-Text in der generateConsentPlaceholder-Methode ist eine ausgezeichnete Sicherheitsmaßnahme. Dies gewährleistet, dass alle dynamischen Inhalte im Consent-Placeholder sicher gerendert werden und schützt vor XSS-Angriffen. Die gründliche Implementierung dieser Sicherheitsmaßnahmen ist vorbildlich.

README.md (1)

229-235: Passender Abschluss der Dokumentation.

Der hinzugefügte Abschluss rundet die README gut ab. Der ermutigende und informelle Ton passt zum Gesamtstil des Dokuments und motiviert die Benutzer, das Add-on auszuprobieren.

🧰 Tools

🪛 LanguageTool

[style] ~234-~234: Die Verwendung vieler Ausrufezeichen wirkt oft übertrieben. (Hier: 8 Ausrufezeichen bei 3570 Zeichen Text.)
Context: ...und coole Videos)! Viel Spaß beim Coden! 🚀👩‍💻👨‍💻 ## Autor **Friends Of R...

(DE_EXCESSIVE_EXCLAMATION)

[coderabbitai]

Actionable comments posted: 7

📜 Review details

Configuration used: CodeRabbit UI
Review profile: CHILL

📥 Commits

Files that changed from the base of the PR and between 2856311 and ed1af30.

📒 Files selected for processing (1)

• assets/vidstack_helper.js (1 hunks)

🧰 Additional context used

🪛 Biome

assets/vidstack_helper.js

[error] 16-16: Change to an optional chain.

Unsafe fix: Change to an optional chain.

(lint/complexity/useOptionalChain)

🔇 Additional comments (1)

assets/vidstack_helper.js (1)

1-163: Zusammenfassung der Verbesserungen und verbleibende Optimierungsmöglichkeiten

Die Datei assets/vidstack_helper.js wurde erheblich verbessert und erweitert. Hier eine Zusammenfassung der wichtigsten Änderungen und verbleibenden Optimierungsmöglichkeiten:

Verbesserungen:

1. Einführung dynamischer Übersetzungen mit asynchronem Laden.
2. Implementierung eines MutationObserver für dynamisch hinzugefügte Elemente.
3. Verbesserte Strukturierung des Codes mit klaren Funktionsabgrenzungen.
4. Verwendung moderner JavaScript-Praktiken wie async/await und optionales Verketten.

Verbleibende Optimierungsmöglichkeiten:

1. Verbesserung der Fehlerbehandlung in verschiedenen Funktionen.
2. Einführung eines Debounce-Mechanismus für den MutationObserver.
3. Implementierung eines Mechanismus zur Verhinderung mehrfacher Initialisierungen.
4. Weitere Verbesserung der Internationalisierung, insbesondere bei Fehlermeldungen.

Insgesamt stellt diese Überarbeitung eine signifikante Verbesserung dar. Die vorgeschlagenen Optimierungen können die Robustheit und Effizienz des Codes weiter steigern.

🧰 Tools

🪛 Biome

[error] 16-16: Change to an optional chain.

Unsafe fix: Change to an optional chain.

(lint/complexity/useOptionalChain)