Skip to content

Bye bye safehtml, bienvenue HtmlPurifier

marcimat a demandé de fusionner gh-4184b997/4783/unknown/refs/pull/4783/head vers master

Suite de #4781 Refs: spip/spip#5271

Cette PR, par rapport à #4781 réduit le diff du fork de la lib HTMLPurifier, en utilisant une extension HTMLPurifier_HTML5 et une modification plus minime pour les attributs data-.

PR en complément de spip/spip#5271

J'ai repris peu ou prou le code de la fonction safehtml() du plugin https://git.spip.net/spip-contrib-extensions/htmlpurifier/src/branch/master/inc/safehtml.php#L17

mais pas le reste du plugin.

La logique reste identique à ce qu'on faisait jusqu'ici. La fonction safehtml est utilisée avec parcimonie par le core et/ou textwheel pour cibler au mieux la sécurisation des contenus sans pénaliser la consommation des ressources.

Il pourra être utile de proposer un plugin "SafeHtmlPartout" qui en gros se plug derrière propre et typo et passe safehtml sur tous les contenus quand on est en mode parano. Ce n'est pas l'objet du core de faire ça

Rapports de requête de fusion

Forge communautaire SPIP | Charte d'utilisationSignaler un problème sur ce site