# Server-Side HTML Cards - Konzept & Analyse
## Executive Summary
Die Idee, Cards als reinen HTML/CSS-Code serverseitig zu rendern, bietet maximale Flexibilität für Nutzer und könnte das bestehende modulare System ergänzen oder ersetzen. Dieser Ansatz würde es ermöglichen, dass Nutzer komplett eigene Designs erstellen können, während gleichzeitig die Aspect Ratio und Container-Constraints eingehalten werden.
## 🎯 Konzept-Übersicht
### Grundidee
```html
```
### Server rendert zu:
```html
```
## 📊 Vergleich der Ansätze
| Aspekt | Modulares System (aktuell) | HTML/CSS System | Hybrid-Ansatz |
| ---------------------- | -------------------------- | --------------- | ------------- |
| **Flexibilität** | Mittel | Sehr hoch | Hoch |
| **Sicherheit** | Hoch | Niedrig-Mittel | Mittel-Hoch |
| **Performance** | Sehr gut | Gut | Gut |
| **Nutzer-Komplexität** | Niedrig | Hoch | Variabel |
| **Wartbarkeit** | Sehr gut | Schlecht | Mittel |
| **Datenbank** | Komplex | Einfach | Mittel |
## ✅ Vorteile Server-Side HTML Cards
### 1. **Maximale Kreativität**
- Nutzer können JEDES Design umsetzen
- Keine Einschränkungen durch vordefinierte Module
- Custom Animationen und Effekte möglich
- Einzigartige Layouts
### 2. **Einfachere Datenbank**
```sql
-- Statt komplexer JSON-Strukturen
CREATE TABLE cards (
id TEXT PRIMARY KEY,
user_id TEXT,
html_content TEXT,
css_content TEXT,
variables JSON, -- Für Template-Variablen
created_at TIMESTAMP
);
```
### 3. **Portabilität**
- HTML/CSS ist universell
- Kann in jede Plattform exportiert werden
- Keine Framework-Abhängigkeiten
### 4. **Learning Opportunity**
- Nutzer lernen HTML/CSS
- Community kann Code teilen
- Inspiration durch andere Designs
## ❌ Nachteile & Risiken
### 1. **Sicherheitsrisiken**
```javascript
// XSS-Gefahr
// CSS-Injection
// Clickjacking
```
### 2. **Performance-Probleme**
- Unkontrollierte CSS-Animationen
- Große Bilder/Assets
- Ineffiziente Selektoren
- Memory Leaks durch JavaScript
### 3. **Responsive Design**
- Nutzer müssen selbst Media Queries schreiben
- Inkonsistente Mobile-Ansichten
- Aspect Ratio schwer zu garantieren
### 4. **Wartbarkeit**
- Kein Type-Checking
- Schwer zu debuggen
- Updates kompliziert
- Keine einheitliche Code-Qualität
## 🔒 Sicherheitskonzept
### 1. **Sandboxing mit iframes**
```html
```
### 2. **HTML/CSS Sanitization**
```javascript
import DOMPurify from 'isomorphic-dompurify';
import { sanitizeCSS } from 'css-tree';
function sanitizeCardContent(html, css) {
// HTML säubern
const cleanHTML = DOMPurify.sanitize(html, {
ALLOWED_TAGS: ['div', 'span', 'p', 'h1', 'h2', 'h3', 'img', 'a'],
ALLOWED_ATTR: ['class', 'id', 'href', 'src', 'alt', 'style'],
FORBID_TAGS: ['script', 'iframe', 'object', 'embed', 'form'],
FORBID_ATTR: ['onclick', 'onload', 'onerror']
});
// CSS säubern
const cleanCSS = sanitizeCSS(css, {
removeImports: true,
removeJavaScript: true,
limitSelectors: true,
maxNesting: 3
});
return { html: cleanHTML, css: cleanCSS };
}
```
### 3. **Content Security Policy**
```javascript
// Server-Header
response.headers.set(
'Content-Security-Policy',
"default-src 'self'; " +
"style-src 'self' 'unsafe-inline'; " +
"script-src 'none'; " +
"img-src 'self' data: https:;"
);
```
## 🎨 Hybrid-Ansatz (EMPFEHLUNG)
### Konzept: "Progressive Enhancement"
```typescript
interface CardDefinition {
type: 'modular' | 'template' | 'custom-html';
// Für modulare Cards (wie bisher)
modules?: ModuleConfig[];
// Für Template-basierte Cards
template?: string;
templateVars?: Record;
// Für Custom HTML
customHTML?: string;
customCSS?: string;
// Gemeinsame Properties
constraints?: {
aspectRatio?: string;
maxWidth?: string;
minHeight?: string;
};
}
```
### Drei Ebenen der Anpassung:
#### Level 1: Module Builder (Anfänger)
```javascript
{
type: 'modular',
modules: [
{ type: 'header', props: { title: 'Meine Karte' } }
]
}
```
#### Level 2: Template Editor (Fortgeschritten)
```handlebars
{ type: 'template', template: `
{{title}}
{{description}}
`, templateVars: { title: 'Titel', description: 'Text' } }
```
#### Level 3: Custom HTML/CSS (Experten)
```javascript
{
type: 'custom-html',
customHTML: '...
',
customCSS: '.my-card { ... }'
}
```
## 💻 Implementierungsplan
### Phase 1: Basis-Infrastruktur (Woche 1-2)
#### 1.1 Sanitization Layer
```typescript
// src/lib/services/cardSanitizer.ts
export class CardSanitizer {
sanitizeHTML(html: string): string;
sanitizeCSS(css: string): string;
validateConstraints(html: string, constraints: Constraints): boolean;
extractVariables(html: string): string[];
}
```
#### 1.2 Rendering Engine
```svelte