HtmlPurifier vire le SVG #3

Open
opened 3 months ago by cerdic · 2 comments
cerdic commented 3 months ago
Owner

cf spip/safehtml#4786
et du coup avec ce plugin, comme safehtml() passe un peu partout dans l'espace privé (cf #2), quand je teste la branche https://git.spip.net/spip-contrib-extensions/htmlpurifier/src/branch/dev/v7 sur SPIP 4.1 j'ai toutes les icones SVG de la nav principale qui disparaissent.

Et ça va surement sauter à d'autres endroits...

cf https://git.spip.net/spip/safehtml/issues/4786 et du coup avec ce plugin, comme safehtml() passe un peu partout dans l'espace privé (cf #2), quand je teste la branche https://git.spip.net/spip-contrib-extensions/htmlpurifier/src/branch/dev/v7 sur SPIP 4.1 j'ai toutes les icones SVG de la nav principale qui disparaissent. Et ça va surement sauter à d'autres endroits...
Poster
Owner

Dans le cas de la nav principle, c'est donc interdire_scripts() qui est appelé sur une balise produisant le SVG des icones, qui lui même fait appel à echappe_js() dès qu'on a une balise, qui lui même passe toutes les balises dans echappe_anti_xss() qui lui même passe à peu près tout ce qui contineut du html à safehtml() lequel sucre donc l'intégralité de l'icône SVG...

Dans le cas de la nav principle, c'est donc `interdire_scripts()` qui est appelé sur une balise produisant le SVG des icones, qui lui même fait appel à `echappe_js()` dès qu'on a une balise, qui lui même passe toutes les balises dans `echappe_anti_xss()` qui lui même passe à peu près tout ce qui contineut du html à `safehtml()` lequel sucre donc l'intégralité de l'icône SVG...
Poster
Owner

Ce cas est donc corrigé par 19b8b82240 mais ça empêche pas que si dans du contenu licite on a un svg licite en inline il va sauter via safehtml() donc je garde ça ouvert

Ce cas est donc corrigé par https://git.spip.net/spip-contrib-extensions/htmlpurifier/commit/19b8b8224029530819e349da776c794fbccfdb2f mais ça empêche pas que si dans du contenu licite on a un svg licite en inline il va sauter via safehtml() donc je garde ça ouvert
Sign in to join this conversation.
No Label
No Milestone
No Assignees
1 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.