Upload d'un svg : remplacer le test sur le statut auteur par un appel a...

Upload d'un svg : remplacer le test sur le statut auteur par un appel a autoriser(televerser,script) qui peut etre deroge dans un cron
+ ref biblio sur la purification SVG

Par ailleurs, si on sanitize SVG pour eviter les scripts quand l'auteur n'est pas de confiance, il faut en faire autant sur du HTML
=> sanitization du HMTL sur le meme principe, dans les memes conditions

(bruno, emmanuel)

.gitattributes

@@ -105,6 +105,7 @@ lang/medias_zh.php -text
 /medias_fonctions.php -text
 /medias_pipelines.php -text
 metadata/flv.php -text
+metadata/html.php -text
 metadata/image.php -text
 metadata/svg.php -text
 metadata/swf.php -text

metadata/html.php

+<?php
+
+/***************************************************************************\
+ *  SPIP, Systeme de publication pour l'internet                           *
+ *                                                                         *
+ *  Copyright (c) 2001-2011                                                *
+ *  Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James  *
+ *                                                                         *
+ *  Ce programme est un logiciel libre distribue sous licence GNU/GPL.     *
+ *  Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne.   *
+\***************************************************************************/
+
+if (!defined('_ECRIRE_INC_VERSION')) return;
+include_spip('inc/autoriser');
+
+/**
+ * enlever les scripts de html si necessaire
+ * on utilise safehtml
+ *
+ * @param string $file
+ * @return array
+ */
+function medata_html_dist($file){
+	$meta = array();
+
+	// Securite si pas autorise : virer les scripts et les references externes
+	// sauf si on est en mode javascript 'ok' (1), cf. inc_version
+	if ($GLOBALS['filtrer_javascript'] < 1
+	  AND !autoriser('televerser','script')) {
+		$texte = spip_file_get_contents($file);
+		include_spip('inc/texte');
+		$new = trim(safehtml($texte));
+		// petit bug safehtml
+		if ($new != $texte) ecrire_fichier($file, $new);
+	}
+	
+	return $meta;
+}
\ No newline at end of file

metadata/svg.php

@@ -11,9 +11,13 @@
 \***************************************************************************/
 
 if (!defined('_ECRIRE_INC_VERSION')) return;
+include_spip('inc/autoriser');
 
 /**
  * Determiner les dimensions d'un svg, et enlever ses scripts si necessaire
+ * on utilise safehtml qui n'est pas apropriee pour ca en attendant mieux
+ * cf http://www.slideshare.net/x00mario/the-image-that-called-me
+ * http://heideri.ch/svgpurifier/SVGPurifier/index.php
  *
  * @param string $file
  * @return array
@@ -24,10 +28,10 @@ function medata_svg_dist($file){
 
 	$texte = spip_file_get_contents($file);
 
-	// Securite si pas admin : virer les scripts et les references externes
+	// Securite si pas autorise : virer les scripts et les references externes
 	// sauf si on est en mode javascript 'ok' (1), cf. inc_version
 	if ($GLOBALS['filtrer_javascript'] < 1
-	AND $GLOBALS['visiteur_session']['statut'] != '0minirezo') {
+	  AND !autoriser('televerser','script')) {
 		include_spip('inc/texte');
 		$new = trim(safehtml($texte));
 		// petit bug safehtml

plugin.xml

@@ -2,7 +2,7 @@
 	<nom>Medias</nom>
 	<auteur>Collectif SPIP, Cedric Morin &amp; Romy Duhem-Verdiere pour la mediatheque</auteur>
 	<icon>prive/themes/spip/images/portfolio-32.png</icon>
-	<version>2.0.5</version>
+	<version>2.1.0</version>
 	<version_base>0.14.0</version_base>
 	<etat>test</etat>
 	<slogan>Gestion des medias dans SPIP</slogan>