securite :

- deplacer le squelette de preview dans prive/ pour ne pas permettre sa consultation directe
- ajouter un autoriser() dans l'action previsu pour fermer la porte lorsque le porte plume est desactive dans le public
- dans tous les cas faire passer le resultat par safehtml car le texte source peut venir de n'importe qui/n'importe ou et peut servir de support a une attaque type XSS ou vol de cookie (l'utilisation d'un $_POST explicite exclue toutefois le simple lien)

.gitattributes

@@ -62,11 +62,11 @@ markitup/templates/preview.html -text
 /plugin.xml -text
 /porte_plume_options.php -text
 /porte_plume_pipelines.php -text
-/porte_plume_preview.html -text
-/porte_plume_preview_fonctions.php -text
 /porte_plume_start.js.html -text
 /porte_plume_start.js_fonctions.php -text
 prive/configurer/porte_plume.html -text
+prive/porte_plume_preview.html -text
+prive/porte_plume_preview_fonctions.php -text
 tests/all_tests.php -text
 tests/barre_outil_markitup.php -text
 tests/lanceur_spip.php -text

action/porte_plume_previsu.php

@@ -13,6 +13,17 @@
 if (!defined("_ECRIRE_INC_VERSION")) return;
 
 function action_porte_plume_previsu_dist(){
-	echo recuperer_fond('porte_plume_preview',$_POST);
+
+	// $_POST a ete sanitise par SPIP
+	// et le fond injecte des interdire_scripts pour empecher les injections PHP
+	// le js est bloque ou non selon les reglages de SPIP et si on est ou non dans l'espace prive
+	$contexte = $_POST;
+
+	// mais il faut avoir le droit de previsualiser
+	// (par defaut le droit d'aller dans ecrire/)
+	if (!autoriser('previsualiser','porte_plume'))
+		$contexte = array();
+
+	echo recuperer_fond('prive/porte_plume_preview',$contexte);
 }
 ?>

inc/barre_outils.php

@@ -556,18 +556,28 @@ function barre_outils_liste(){
  * @return string : texte traite
  */
 function traitements_previsu($texte, $nom_champ='', $type_objet='', $connect=null) {
+	include_spip('public/interfaces'); // charger les traitements
+	safehtml($t);
 	global $table_des_traitements;
-	if(!strlen($nom_champ) || !isset($table_des_traitements[$nom_champ]))
-		return propre($texte, $connect);
-	include_spip('base/abstract_sql');
-	$table = table_objet($type_objet);
-	$ps = $table_des_traitements[$nom_champ];
-	if(is_array($ps))
-		$ps = $ps[(strlen($table) && isset($ps[$table])) ? $table : 0];
-	if(!$ps) 
-		return propre($texte, $connect);
-	// remplacer le placeholder %s par le texte fourni
-	eval('$texte=' . str_replace('%s', '$texte', $ps) . ';');
-	return $texte;
+	if(!strlen($nom_champ) || !isset($table_des_traitements[$nom_champ])) {
+		$texte = propre($texte, $connect);
+	}
+	else {
+		include_spip('base/abstract_sql');
+		$table = table_objet($type_objet);
+		$ps = $table_des_traitements[$nom_champ];
+		if(is_array($ps))
+			$ps = $ps[(strlen($table) && isset($ps[$table])) ? $table : 0];
+		if(!$ps)
+			$texte = propre($texte, $connect);
+		else
+			// remplacer le placeholder %s par le texte fourni
+			eval('$texte=' . str_replace('%s', '$texte', $ps) . ';');
+	}
+	// il faut toujours securiser le texte preivusalise car il peut contenir n'importe quoi
+	// et servir de support a une attaque xss ou vol de cookie admin
+	// on ne peut donc se fier au statut de l'auteur connecte car le contenu ne vient pas
+	// forcement de lui
+	return safehtml($texte);
 }
 ?>

plugin.xml

@@ -2,7 +2,7 @@
 	<nom><multi>[fr]Porte plume[en]Quill[ar]&#1575;&#1604;&#1585;&#1610;&#1588;&#1577;</multi></nom>
 	<auteur>Matthieu Marcillaud</auteur>
 	<licence>GNU/GPL</licence>
-	<version>1.7.1</version>
+	<version>1.7.2</version>
 	<description>
 	<multi>[fr]Une barre d'outil pour bien &eacute;crire
 _ Porte plume est une barre d'outil extensible pour SPIP qui
@@ -29,6 +29,11 @@ _ &#1575;&#1604;&#1585;&#1610;&#1588;&#1577; &#1607;&#1610; &#1588;&#1585;&#1610
 	<options>porte_plume_options.php</options>
 	<fonctions>inc/barre_outils.php</fonctions>
 
+ 	<pipeline>
+		<nom>autoriser</nom>
+		<inclure>porte_plume_pipelines.php</inclure>
+	</pipeline>
+
  	<pipeline>
 		<nom>insert_head</nom>
 		<action>insert_head_public</action>

porte_plume_pipelines.php

@@ -6,6 +6,24 @@
  */
 #define('PORTE_PLUME_PUBLIC', true);
 
+function porte_plume_autoriser($flux){return $flux;}
+
+/**
+ * Autoriser l'action de previsu : la fermer aux non identifies
+ * si pas de porte plume dans le public
+ * @param string $faire
+ * @param string $type
+ * @param int $id
+ * @param array $qui
+ * @param array $opt
+ * @return bool
+ */
+function autoriser_porte_plume_previsualiser_dist($faire, $type, $id, $qui, $opt){
+	return
+		(test_espace_prive() AND autoriser('ecrire'))
+	  OR (!test_espace_prive() AND autoriser('afficher_public','porte_plume'));
+}
+
 // autoriser le porte plume dans le public ?
 function autoriser_porte_plume_afficher_public_dist($faire, $type, $id, $qui, $opt) {
 	// compatibilite d'avant le formulaire de configuration

porte_plume_start.js.html

@@ -1,7 +1,8 @@
 #CACHE{7*24*3600}
 #HTTP_HEADER{Content-Type: text/javascript; charset=#CHARSET}
 
-[(#REM) chargement des definitions des barres d'outils ]
+[(#REM) chargement des definitions des barres d'outils
+<script>]
 [(#VAL|porte_plume_creer_json_markitup)]
 
 
@@ -23,7 +24,7 @@ $.fn.barre_outils = function(nom, settings) {
 
 $.fn.barre_previsualisation = function(settings) {
 	options = {
-		previewParserPath:"[(#URL_ACTION{porte_plume_previsu}|url_absolue)]",
+		previewParserPath:"index.php?action=porte_plume_previsu", // ici une url relative pour prive/public
 		textEditer:"<:barre_outils:editer:>",
 		textVoir:"<:barre_outils:voir:>"
 	};