fix: forcer espace_prive=false dans le env pour ne pas declencher securiser_html_suspect() sans arrêt, car les entrées sont en principe non fournies par les utilsateurs + passer interdire_scripts() sur le résultat dans tous les cas

A noter : en cas de `$GLOBALS['filtrer_javascript'] == -1` le résultat passer quand même dans safehtml
pull/14/head
Cerdic 2 months ago
parent 7af57f6072
commit 9cc8be6794

@ -97,7 +97,11 @@ if (!function_exists('_T_ou_typo')) {
) {
include_spip('inc/texte');
// définir le connect pour éviter de déclencher les sécurités dans typo
// mais si on est en GLOBALS['filtrer_javascript'] == -1 alors le résultat passera dans safehtml
$env['espace_prive'] = false;
$valeur = typo($valeur, true, $connect ?? '', $env);
// et sécuriser quand même le tout
$valeur = interdire_scripts($valeur);
}
}
}

Loading…
Cancel
Save