medias/metadata/svg.php

<?php

/***************************************************************************\
 *  SPIP, Systeme de publication pour l'internet                           *
 *                                                                         *
 *  Copyright (c) 2001-2019                                                *
 *  Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James  *
 *                                                                         *
 *  Ce programme est un logiciel libre distribue sous licence GNU/GPL.     *
 *  Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne.   *
\***************************************************************************/

/**
 * Informations meta d'un SVG
 *
 * @package SPIP\Medias\Metadata
 **/

use enshrined\svgSanitize\Sanitizer;

if (!defined('_ECRIRE_INC_VERSION')) {
	return;
}
include_spip('inc/autoriser');

/**
 * Déterminer les dimensions d'un svg, et enlever ses scripts si nécessaire
 *
 * On utilise safehtml qui n'est pas apropriée pour ça en attendant mieux
 * cf http://www.slideshare.net/x00mario/the-image-that-called-me
 * http://heideri.ch/svgpurifier/SVGPurifier/index.php
 *
 * @param string $file
 * @return array Tableau (largeur, hauteur)
 */
function metadata_svg_dist($file) {

	// Securite si pas autorise : virer les scripts et les references externes
	// sauf si on est en mode javascript 'ok' (1), cf. inc_version
	if ($GLOBALS['filtrer_javascript'] < 1
		// qu'on soit admin ou non, on sanitize les SVGs car rien ne dit qu'un admin sait que ca contient du JS
	  // and !autoriser('televerser', 'script')
	) {
		spip_log("sanitization SVG $file", "svg");

		include_spip('lib/svg-sanitizer/src/Sanitizer');
		include_spip('lib/svg-sanitizer/src/data/AttributeInterface');
		include_spip('lib/svg-sanitizer/src/data/AllowedAttributes');
		include_spip('lib/svg-sanitizer/src/data/TagInterface');
		include_spip('lib/svg-sanitizer/src/data/AllowedTags');

		$sanitizer = new Sanitizer();
		$sanitizer->setXMLOptions(0); // garder les balises vide en ecriture raccourcie

		$svg = file_get_contents($file);

		// Pass it to the sanitizer and get it back clean
		$clean_svg = $sanitizer->sanitize($svg);
		ecrire_fichier($file, $clean_svg);

		// loger les sanitization
		$trace = "";
		foreach ($sanitizer->getXmlIssues() as $issue) {
			$trace .= $issue['message'] . " L".$issue['line']."\n";
		}
		if ($trace) {
			spip_log($trace, "svg" . _LOG_DEBUG);
		}
	}

	$metadata = charger_fonction('image', 'metadata');
	return $metadata($file);
}
extraire les methodes de determination des metas data (largeur, hauteur, duree, ...) par extension, afin de permettre d'ajouter facilement de nouvelles methodes. Integrer la methode de lecture de la taille et duree des flv (lapin_malin) 12 years ago			`<?php`

			`/***************************************************************************\`
			`* SPIP, Systeme de publication pour l'internet *`
			`* *`
Il parait que le futur c'est maintenant :-D 4 years ago			`* Copyright (c) 2001-2019 *`
extraire les methodes de determination des metas data (largeur, hauteur, duree, ...) par extension, afin de permettre d'ajouter facilement de nouvelles methodes. Integrer la methode de lecture de la taille et duree des flv (lapin_malin) 12 years ago			`* Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *`
			`* *`
			`* Ce programme est un logiciel libre distribue sous licence GNU/GPL. *`
			`* Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *`
			`\***************************************************************************/`

Chti phpdoc. 10 years ago			`/**`
			`* Informations meta d'un SVG`
			`*`
			`* @package SPIP\Medias\Metadata`
Indentation et regles de codage selon http://www.spip.net/fr_article3497.html#regles_codage 7 years ago			`**/`
Chti phpdoc. 10 years ago
Sanitizer les SVG : - on reprend la lib svg-sanitizer https://github.com/darylldoyle/svg-sanitizer utilisee sur le plugin logo-svg https://github.com/cariagency/spip-logo-svg - on sanitize systematiquement, que l'utilisateur soit admin ou non, car il upload une image sans forcement etre conscient que ca peut contenir des scripts (merci Maieul) 4 years ago			`use enshrined\svgSanitize\Sanitizer;`

Indentation et regles de codage selon http://www.spip.net/fr_article3497.html#regles_codage 7 years ago			`if (!defined('_ECRIRE_INC_VERSION')) {`
			`return;`
			`}`
Upload d'un svg : remplacer le test sur le statut auteur par un appel a autoriser(televerser,script) qui peut etre deroge dans un cron + ref biblio sur la purification SVG Par ailleurs, si on sanitize SVG pour eviter les scripts quand l'auteur n'est pas de confiance, il faut en faire autant sur du HTML => sanitization du HMTL sur le meme principe, dans les memes conditions (bruno, emmanuel) 12 years ago			`include_spip('inc/autoriser');`
extraire les methodes de determination des metas data (largeur, hauteur, duree, ...) par extension, afin de permettre d'ajouter facilement de nouvelles methodes. Integrer la methode de lecture de la taille et duree des flv (lapin_malin) 12 years ago
			`/**`
Chti phpdoc. 10 years ago			`* Déterminer les dimensions d'un svg, et enlever ses scripts si nécessaire`
Indentation et regles de codage selon http://www.spip.net/fr_article3497.html#regles_codage 7 years ago			`*`
Chti phpdoc. 10 years ago			`* On utilise safehtml qui n'est pas apropriée pour ça en attendant mieux`
Upload d'un svg : remplacer le test sur le statut auteur par un appel a autoriser(televerser,script) qui peut etre deroge dans un cron + ref biblio sur la purification SVG Par ailleurs, si on sanitize SVG pour eviter les scripts quand l'auteur n'est pas de confiance, il faut en faire autant sur du HTML => sanitization du HMTL sur le meme principe, dans les memes conditions (bruno, emmanuel) 12 years ago			`* cf http://www.slideshare.net/x00mario/the-image-that-called-me`
			`* http://heideri.ch/svgpurifier/SVGPurifier/index.php`
extraire les methodes de determination des metas data (largeur, hauteur, duree, ...) par extension, afin de permettre d'ajouter facilement de nouvelles methodes. Integrer la methode de lecture de la taille et duree des flv (lapin_malin) 12 years ago			`*`
			`* @param string $file`
Chti phpdoc. 10 years ago			`* @return array Tableau (largeur, hauteur)`
extraire les methodes de determination des metas data (largeur, hauteur, duree, ...) par extension, afin de permettre d'ajouter facilement de nouvelles methodes. Integrer la methode de lecture de la taille et duree des flv (lapin_malin) 12 years ago			`*/`
Indentation et regles de codage selon http://www.spip.net/fr_article3497.html#regles_codage 7 years ago			`function metadata_svg_dist($file) {`
extraire les methodes de determination des metas data (largeur, hauteur, duree, ...) par extension, afin de permettre d'ajouter facilement de nouvelles methodes. Integrer la methode de lecture de la taille et duree des flv (lapin_malin) 12 years ago
Upload d'un svg : remplacer le test sur le statut auteur par un appel a autoriser(televerser,script) qui peut etre deroge dans un cron + ref biblio sur la purification SVG Par ailleurs, si on sanitize SVG pour eviter les scripts quand l'auteur n'est pas de confiance, il faut en faire autant sur du HTML => sanitization du HMTL sur le meme principe, dans les memes conditions (bruno, emmanuel) 12 years ago			`// Securite si pas autorise : virer les scripts et les references externes`
extraire les methodes de determination des metas data (largeur, hauteur, duree, ...) par extension, afin de permettre d'ajouter facilement de nouvelles methodes. Integrer la methode de lecture de la taille et duree des flv (lapin_malin) 12 years ago			`// sauf si on est en mode javascript 'ok' (1), cf. inc_version`
Indentation et regles de codage selon http://www.spip.net/fr_article3497.html#regles_codage 7 years ago			`if ($GLOBALS['filtrer_javascript'] < 1`
Sanitizer les SVG : - on reprend la lib svg-sanitizer https://github.com/darylldoyle/svg-sanitizer utilisee sur le plugin logo-svg https://github.com/cariagency/spip-logo-svg - on sanitize systematiquement, que l'utilisateur soit admin ou non, car il upload une image sans forcement etre conscient que ca peut contenir des scripts (merci Maieul) 4 years ago			`// qu'on soit admin ou non, on sanitize les SVGs car rien ne dit qu'un admin sait que ca contient du JS`
			`// and !autoriser('televerser', 'script')`
Indentation et regles de codage selon http://www.spip.net/fr_article3497.html#regles_codage 7 years ago			`) {`
option du sanitizer pour preserver les tags vide en ecriture courte + log de la sanitization 4 years ago			`spip_log("sanitization SVG $file", "svg");`
Sanitizer les SVG : - on reprend la lib svg-sanitizer https://github.com/darylldoyle/svg-sanitizer utilisee sur le plugin logo-svg https://github.com/cariagency/spip-logo-svg - on sanitize systematiquement, que l'utilisateur soit admin ou non, car il upload une image sans forcement etre conscient que ca peut contenir des scripts (merci Maieul) 4 years ago
			`include_spip('lib/svg-sanitizer/src/Sanitizer');`
			`include_spip('lib/svg-sanitizer/src/data/AttributeInterface');`
			`include_spip('lib/svg-sanitizer/src/data/AllowedAttributes');`
			`include_spip('lib/svg-sanitizer/src/data/TagInterface');`
			`include_spip('lib/svg-sanitizer/src/data/AllowedTags');`

			`$sanitizer = new Sanitizer();`
option du sanitizer pour preserver les tags vide en ecriture courte + log de la sanitization 4 years ago			`$sanitizer->setXMLOptions(0); // garder les balises vide en ecriture raccourcie`

Sanitizer les SVG : - on reprend la lib svg-sanitizer https://github.com/darylldoyle/svg-sanitizer utilisee sur le plugin logo-svg https://github.com/cariagency/spip-logo-svg - on sanitize systematiquement, que l'utilisateur soit admin ou non, car il upload une image sans forcement etre conscient que ca peut contenir des scripts (merci Maieul) 4 years ago			`$svg = file_get_contents($file);`

			`// Pass it to the sanitizer and get it back clean`
			`$clean_svg = $sanitizer->sanitize($svg);`
			`ecrire_fichier($file, $clean_svg);`
option du sanitizer pour preserver les tags vide en ecriture courte + log de la sanitization 4 years ago
			`// loger les sanitization`
			`$trace = "";`
			`foreach ($sanitizer->getXmlIssues() as $issue) {`
			`$trace .= $issue['message'] . " L".$issue['line']."\n";`
			`}`
			`if ($trace) {`
			`spip_log($trace, "svg" . _LOG_DEBUG);`
			`}`
extraire les methodes de determination des metas data (largeur, hauteur, duree, ...) par extension, afin de permettre d'ajouter facilement de nouvelles methodes. Integrer la methode de lecture de la taille et duree des flv (lapin_malin) 12 years ago			`}`
Indentation et regles de codage selon http://www.spip.net/fr_article3497.html#regles_codage 7 years ago
SVG est une image comme les autres : ajoute le support pour l'upload de SVG 4 years ago			`$metadata = charger_fonction('image', 'metadata');`
			`return $metadata($file);`
Chti phpdoc. 10 years ago			`}`