Labels Milestones

Refactoring de la mise en sécurité des textes dans ecrire et public #5271

Merged

marcimat merged 15 commits from refactor_texte_safety into master 7 months ago

Conversation 11 Commits 15 Files Changed 6

cerdic commented 8 months ago

Owner

suite à spip-contrib-extensions/htmlpurifier#2 et à la relecture de #3926 j'ai donc entrepris un refactoring des appels à echapper_html_suspect() pour

• être plus robuste sur la detection
• ne pas se fourvoyer à cause d'un modèle
• faciliter la transition vers une autre librairie de purification
• mieux sécuriser les contenus
• fixer le cas parano avec la globale filtrer_javascript=-1 qui était un peu cassé vu qu'on affichait du contenu échappé dans le public, ce qui est pas très user friendly

Au passage j'ai remarqué que traiter_modeles() était totalement inutilement forkée dans textwheel ce qui simplifie pas la maintenance. Je l'ai donc déplacée dans un inc/modeles que j'ai refactoré ensuite pour séparer la detection des modeles de leur traitement, et que j'ai complété par 2 fonctions rapides d'echappement/reinjection pour permettre de passer safehtml sur du contenu sans casser les modeles.

Bref tout ça est un peu plus propre et ça à l'air pas plus mal selon mes tests

suite à https://git.spip.net/spip-contrib-extensions/htmlpurifier/issues/2 et à la relecture de #3926 j'ai donc entrepris un refactoring des appels à `echapper_html_suspect()` pour - être plus robuste sur la detection - ne pas se fourvoyer à cause d'un modèle - faciliter la transition vers une autre librairie de purification - mieux sécuriser les contenus - fixer le cas parano avec la globale `filtrer_javascript=-1` qui était un peu cassé vu qu'on affichait du contenu échappé dans le public, ce qui est pas très user friendly Au passage j'ai remarqué que `traiter_modeles()` était totalement inutilement forkée dans textwheel ce qui simplifie pas la maintenance. Je l'ai donc déplacée dans un `inc/modeles` que j'ai refactoré ensuite pour séparer la detection des modeles de leur traitement, et que j'ai complété par 2 fonctions rapides d'echappement/reinjection pour permettre de passer safehtml sur du contenu sans casser les modeles. Bref tout ça est un peu plus propre et ça à l'air pas plus mal selon mes tests

cerdic added 9 commits 8 months ago

8f5be2c5fa chores: synchronisation du code avec celui de textwheel car toute la partie traiter_modele() est forkee sans raison

3a5d10ee31 chores: deplacer le code specifique au traitement des modeles dans inc/modeles pour eviter le fork par le plugin textwheel

4a5ccaddc8 chores: refactorer la fonction traiter_modele en separant la detection/collecte d'une part dans une fonction modeles_collecter() du traitement d'autre part

cb8f350f01 feat: prise en charge de l'option collecter_liens=false sur la fonction modeles_collecter() et optimisation

1f5846e2e8 feat: un jeu de fonction modeles_echapper_raccourcis() et modele_retablir_raccourcis_echappes() pour echapper les modeles sous forme de texte neutre qui ne sera pas considere comme dangereux par un purifier html puis les retablir

b4252f1f69 feat: la fonction echappe_html() s'enrichit d'un argument callback_options qui sera transmis aux callback d'echappement eventuelle ...

+ si callback_options contient une entree secure_prefix alors on cherche preferentiellement une callback d'echappement prefixee par ce prefixe, et sinon on se rabat sur la callback sans ce prefixe (Le secure_prefix peut se cumuler avec l'argument deja existant callback_prefix)

35b22fbf37 feat: la fonction echapper_html_suspect() change de signature pour prendre un tableau d'option en second argument ainsi que connect et env tels que reçus par propre() ou typo() ...

- on assure une compatibilité avec l'ancienne signature d'appel pour ne pas casser du code appelant ou une personalisation de la fonction
- le tableau d'option permet de plus de passer
  - wrap_suspect pour baliser le code suspect avec un markup a l'aide de la fonction wrap, ce qui permet d'adapter le rendu au cas par cas,
  - texte_source_affiche qui sera le texte affiche apres mise en securite si le texte qu'on examinait parait suspect
- dans l'espace prive, la fonction continue a echapper le html suspect, mais avec plus de discernement : elle ne trig plus sur les modeles qu'on masque via modeles_echapper_raccourcis() et elle commence par echapper tout les tricks js/xss connus via echappe_js(). Si malgre cela safehtml() semble y trouver a redire, on echappe tous les tags html dans l'affichage pour avoir quelque chose de plus lisible et mieux distinguer html du texte
- dans l'espace public, la fonction applique un safehtml() sur le texte sans ses modeles puisqu'on est la uniquement dans le cas parano de la globale filtrer_javascript=-1

e3711fd925 fix: passer connect et env dans les appels de echapper_html_suspect() + un petit peu de refactoring

a0022487d1 fix: ne pas envoyer un connect null a traiter_modeles()

cerdic referenced this pull request from spip/textwheel 8 months ago

Refactoring de la mise en sécurité des textes dans ecrire et public #4844

cerdic commented 8 months ago

Poster

Owner

Cette PR va avec spip/textwheel#4844 (il faut tester les 2 ensemble)

Cette PR va avec https://git.spip.net/spip/textwheel/pulls/4844 (il faut tester les 2 ensemble)

cerdic added 1 commit 8 months ago

c512ab8315 fix: une fonction is_html_safe() personalisable pour tester si une chaine est safe plutot qu'une simple comparaison de longeur avant/apres ...

par defaut on gere une comparaison un peu plus robuste pour passer le test via HTMLPurifier, mais la fonction est personalisable si on veut utiliser une autre lib

cerdic referenced this pull request from spip/safehtml 8 months ago

[WIP] fix: Bye bye safehtml, bienvenue HtmlPurifier #4781

cerdic commented 8 months ago

Poster

Owner

et donc la 3ème PR sur SafeHtlm pour passer à Purifier complète le tout
spip/safehtml#4781

(mais cette dernière n'est pas indispensable, elle est simplement rendue possible par les 2 PR sur le core et textwheel)

Les 3 PR sont notées en WIP car je pense qu'il faut une bonne relecture et tester un peu intensivement avant d'intégrer, et il manque la maj du changelog.

Mais pour le reste c'est OK pour moi: chez moi ça marche (tm)

et donc la 3ème PR sur SafeHtlm pour passer à Purifier complète le tout https://git.spip.net/spip/safehtml/pulls/4781 (mais cette dernière n'est pas indispensable, elle est simplement rendue possible par les 2 PR sur le core et textwheel) Les 3 PR sont notées en WIP car je pense qu'il faut une bonne relecture et tester un peu intensivement avant d'intégrer, et il manque la maj du changelog. Mais pour le reste c'est OK pour moi: chez moi ça marche (tm)

b_b reviewed 8 months ago

b_b left a comment

Owner

Sur la forme des logs :

• toujours quelques accents qui manquent
• b4252f1f69 preferentiellement => de préférence

Sur la forme des logs : - toujours quelques accents qui manquent - https://git.spip.net/spip/spip/commit/b4252f1f69eae47f81743b9b6bb0acd3289ef815 preferentiellement => de préférence

b_b commented 8 months ago

Owner

Testé avec les 3 PRs "actives" sous PHP 7.4 (cf spip/safehtml#4781) avec les listes de XSS suivantes :

• https://gist.github.com/sseffa/11031135 => liste dépassée, mais aucune ne passe dans le privé
• https://github.com/payloadbox/xss-payload-list => liste bien complète, aucune ne passe dans le privé 👍

Je n'arrive plus à mettre la main sur une liste compilée de chez OSWAP, qu'on a souvent mentionné ici, pour la tester, je ne retrouve que ça https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html

En tout cas, ça semble bien efficace :)

Est-ce que ça vaudrait le coup qu'on teste ça sur un site de la communauté ? Je pourrais tenter de passer spip.net en 4.2 et le brancher sur les PRs.

Testé avec les 3 PRs "actives" sous PHP 7.4 (cf https://git.spip.net/spip/safehtml/pulls/4781#issuecomment-39644) avec les listes de XSS suivantes : - https://gist.github.com/sseffa/11031135 => liste dépassée, mais aucune ne passe dans le privé - https://github.com/payloadbox/xss-payload-list => liste bien complète, aucune ne passe dans le privé 👍 Je n'arrive plus à mettre la main sur une liste compilée de chez OSWAP, qu'on a souvent mentionné ici, pour la tester, je ne retrouve que ça https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html En tout cas, ça semble bien efficace :) Est-ce que ça vaudrait le coup qu'on teste ça sur un site de la communauté ? Je pourrais tenter de passer spip.net en 4.2 et le brancher sur les PRs.

👍 3

cerdic added 2 commits 8 months ago

072da13e50 fix: ne pas perdre les raccourcis liens dans du texte qui passe dans safehtml, soit pour le test is_html_safe() soit pour l'affichage. On expanse donc les liens avant si on a été appelé par propre()

3a65d5ced4 fix: eviter is_html_safe() de déclencher de faux positifs du fait de la présence d'un   qui peut être réduit par safehtml()

cerdic commented 8 months ago

Poster

Owner

J'ai complété la PR

• pour améliorer le comportement et éviter que les raccourcis liens ne déclenchent des faux positifs du fait du -> transformé en -> ou ne soient perdus lors de la sanitization dans le public
• pour éviter des faux positifs du fait de   qui semble aussi être parfois transformé en espace normal par safehtml

J'ai complété la PR * pour améliorer le comportement et éviter que les raccourcis liens ne déclenchent des faux positifs du fait du `->` transformé en `->` ou ne soient perdus lors de la sanitization dans le public * pour éviter des faux positifs du fait de ` ` qui semble aussi être parfois transformé en espace normal par safehtml

👍 1

b_b commented 8 months ago

Owner

Je viens de tester de nouveau avec les derniers commits et j'ai un nouveau warning cf :

Warning: Undefined array key "connect" in ecrire/inc/texte_mini.php on line 554

Warning: Undefined array key "env" in ecrire/inc/texte_mini.php on line 554

Sinon, tout est bon, aucune XSS de la liste ne passe.

Je viens de tester de nouveau avec les derniers commits et j'ai un nouveau warning cf : ``` Warning: Undefined array key "connect" in ecrire/inc/texte_mini.php on line 554 Warning: Undefined array key "env" in ecrire/inc/texte_mini.php on line 554 ``` Sinon, tout est bon, aucune XSS de la liste ne passe.

marcimat added 12 commits 7 months ago

c37d5867ef chores: synchronisation du code avec celui de textwheel car toute la partie traiter_modele() est forkee sans raison

ba176a8901 chores: deplacer le code specifique au traitement des modeles dans inc/modeles pour eviter le fork par le plugin textwheel

9277028f35 chores: refactorer la fonction traiter_modele en separant la detection/collecte d'une part dans une fonction modeles_collecter() du traitement d'autre part

4648a7d0b6 feat: prise en charge de l'option collecter_liens=false sur la fonction modeles_collecter() et optimisation

1260f0b7cb feat: un jeu de fonction modeles_echapper_raccourcis() et modele_retablir_raccourcis_echappes() pour echapper les modeles sous forme de texte neutre qui ne sera pas considere comme dangereux par un purifier html puis les retablir

b3ef8a4dfa feat: la fonction echappe_html() s'enrichit d'un argument callback_options qui sera transmis aux callback d'echappement eventuelle ...

+ si callback_options contient une entree secure_prefix alors on cherche preferentiellement une callback d'echappement prefixee par ce prefixe, et sinon on se rabat sur la callback sans ce prefixe (Le secure_prefix peut se cumuler avec l'argument deja existant callback_prefix)

47b4fad2ed feat: la fonction echapper_html_suspect() change de signature pour prendre un tableau d'option en second argument ainsi que connect et env tels que reçus par propre() ou typo() ...

- on assure une compatibilité avec l'ancienne signature d'appel pour ne pas casser du code appelant ou une personalisation de la fonction
- le tableau d'option permet de plus de passer
  - wrap_suspect pour baliser le code suspect avec un markup a l'aide de la fonction wrap, ce qui permet d'adapter le rendu au cas par cas,
  - texte_source_affiche qui sera le texte affiche apres mise en securite si le texte qu'on examinait parait suspect
- dans l'espace prive, la fonction continue a echapper le html suspect, mais avec plus de discernement : elle ne trig plus sur les modeles qu'on masque via modeles_echapper_raccourcis() et elle commence par echapper tout les tricks js/xss connus via echappe_js(). Si malgre cela safehtml() semble y trouver a redire, on echappe tous les tags html dans l'affichage pour avoir quelque chose de plus lisible et mieux distinguer html du texte
- dans l'espace public, la fonction applique un safehtml() sur le texte sans ses modeles puisqu'on est la uniquement dans le cas parano de la globale filtrer_javascript=-1

7a291b1086 fix: passer connect et env dans les appels de echapper_html_suspect() + un petit peu de refactoring

f6ec9239c0 fix: ne pas envoyer un connect null a traiter_modeles()

76f6378a23 fix: une fonction is_html_safe() personalisable pour tester si une chaine est safe plutot qu'une simple comparaison de longeur avant/apres ...

par defaut on gere une comparaison un peu plus robuste pour passer le test via HTMLPurifier, mais la fonction est personalisable si on veut utiliser une autre lib

e079901bb8 fix: ne pas perdre les raccourcis liens dans du texte qui passe dans safehtml, soit pour le test is_html_safe() soit pour l'affichage. On expanse donc les liens avant si on a été appelé par propre()

2d73bc02da fix: eviter is_html_safe() de déclencher de faux positifs du fait de la présence d'un   qui peut être réduit par safehtml()

marcimat referenced this pull request from spip/safehtml 7 months ago

Bye bye safehtml, bienvenue HtmlPurifier #4783

b_b referenced this pull request from spip/safehtml 7 months ago

Bye bye safehtml, bienvenue HtmlPurifier #4783

marcimat added 1 commit 7 months ago

51087af479 fix: Warning sur paramètres pas toujours présents

marcimat added 1 commit 7 months ago

390b4fd80a fix: Warning sur paramètres pas toujours présents

marcimat changed title from [WIP] Refactoring de la mise en sécurité des textes dans ecrire et public to Refactoring de la mise en sécurité des textes dans ecrire et public 7 months ago

b_b approved these changes 7 months ago

marcimat referenced this issue from a commit 7 months ago

docs(changelog): Changelog relatif à #5271 sur le refactoring des échappements html

marcimat added 15 commits 7 months ago

965e00c37c chores: synchronisation du code avec celui de textwheel car toute la partie traiter_modele() est forkee sans raison

cca9101496 chores: deplacer le code specifique au traitement des modeles dans inc/modeles pour eviter le fork par le plugin textwheel

b11fbd7199 chores: refactorer la fonction traiter_modele en separant la detection/collecte d'une part dans une fonction modeles_collecter() du traitement d'autre part

ca0c0a2f31 feat: prise en charge de l'option collecter_liens=false sur la fonction modeles_collecter() et optimisation

dbeff01579 feat: un jeu de fonction modeles_echapper_raccourcis() et modele_retablir_raccourcis_echappes() pour echapper les modeles sous forme de texte neutre qui ne sera pas considere comme dangereux par un purifier html puis les retablir

12319f2da8 feat: la fonction echappe_html() s'enrichit d'un argument callback_options qui sera transmis aux callback d'echappement eventuelle ...

+ si callback_options contient une entree secure_prefix alors on cherche preferentiellement une callback d'echappement prefixee par ce prefixe, et sinon on se rabat sur la callback sans ce prefixe (Le secure_prefix peut se cumuler avec l'argument deja existant callback_prefix)

5ceac00b33 feat: la fonction echapper_html_suspect() change de signature pour prendre un tableau d'option en second argument ainsi que connect et env tels que reçus par propre() ou typo() ...

- on assure une compatibilité avec l'ancienne signature d'appel pour ne pas casser du code appelant ou une personalisation de la fonction
- le tableau d'option permet de plus de passer
  - wrap_suspect pour baliser le code suspect avec un markup a l'aide de la fonction wrap, ce qui permet d'adapter le rendu au cas par cas,
  - texte_source_affiche qui sera le texte affiche apres mise en securite si le texte qu'on examinait parait suspect
- dans l'espace prive, la fonction continue a echapper le html suspect, mais avec plus de discernement : elle ne trig plus sur les modeles qu'on masque via modeles_echapper_raccourcis() et elle commence par echapper tout les tricks js/xss connus via echappe_js(). Si malgre cela safehtml() semble y trouver a redire, on echappe tous les tags html dans l'affichage pour avoir quelque chose de plus lisible et mieux distinguer html du texte
- dans l'espace public, la fonction applique un safehtml() sur le texte sans ses modeles puisqu'on est la uniquement dans le cas parano de la globale filtrer_javascript=-1

b325664ed7 fix: passer connect et env dans les appels de echapper_html_suspect() + un petit peu de refactoring

af684caccd fix: ne pas envoyer un connect null a traiter_modeles()

0def276295 fix: une fonction is_html_safe() personalisable pour tester si une chaine est safe plutot qu'une simple comparaison de longeur avant/apres ...

par defaut on gere une comparaison un peu plus robuste pour passer le test via HTMLPurifier, mais la fonction est personalisable si on veut utiliser une autre lib

9a8a2d282b fix: ne pas perdre les raccourcis liens dans du texte qui passe dans safehtml, soit pour le test is_html_safe() soit pour l'affichage. On expanse donc les liens avant si on a été appelé par propre()

c22cb206d0 fix: eviter is_html_safe() de déclencher de faux positifs du fait de la présence d'un   qui peut être réduit par safehtml()

b86c83c71e fix: Warning sur paramètres pas toujours présents

7f1b268c1d docs(changelog): Changelog relatif à #5271 sur le refactoring des échappements html

a3cb859602 fix: Typage de is_html_safe()

marcimat merged commit a3cb859602 into master 7 months ago

marcimat deleted branch refactor_texte_safety 7 months ago

b_b commented 7 months ago

Owner

\o/

\o/

marcimat referenced this issue from a commit 7 months ago

docs(changelog): Changelog relatif à spip/spip#5271 sur le refactoring des échappements html

rastapopoulos commented 7 months ago

Owner

Glop, j'ai un soucis avec ces commits :

• echapper_html_suspect appelle modeles_echapper_raccourcis
• mais cette fonction n'est pas dans le même fichier mais dans inc/modeles
• qui n'est jamais chargé explicitement à cet endroit avant d'utiliser une fonction qu'il contient

Tant qu'on n'a pas de loader auto, et qu'une fonction est dans un autre fichier (à part utils…), quand c'est un fichier thématique pas forcément toujours là, on devrait toujours s'assurer de charger ce qu'il faut non ? Par exemple en haut de text_mini il y a inc/filtres et inc/lang… mais donc il faudrait inc/modeles aussi (ou dans la fonction modeles_echapper_raccourcis au moins)

Là moi j'ai parfois des erreurs partout dans l'admin (y compris avec recalcul ou vidage total de tmp/) : Line 546 : Call to undefined function modeles_echapper_raccourcis() avec plus rien d'utilisable

Glop, j'ai un soucis avec ces commits : - `echapper_html_suspect` appelle `modeles_echapper_raccourcis` - mais cette fonction n'est pas dans le même fichier mais dans `inc/modeles` - qui n'est jamais chargé explicitement à cet endroit avant d'utiliser une fonction qu'il contient Tant qu'on n'a pas de loader auto, et qu'une fonction est dans un autre fichier (à part utils…), quand c'est un fichier thématique pas forcément toujours là, on devrait toujours s'assurer de charger ce qu'il faut non ? Par exemple en haut de text_mini il y a inc/filtres et inc/lang… mais donc il faudrait inc/modeles aussi (ou dans la fonction modeles_echapper_raccourcis au moins) Là moi j'ai parfois des erreurs partout dans l'admin (y compris avec recalcul ou vidage total de tmp/) : `Line 546 : Call to undefined function modeles_echapper_raccourcis()` avec plus rien d'utilisable

b_b commented 7 months ago

Owner

Je n'ai pas rencontré ce problème lors de mes tests et encore à l'instant avec SPIP 4.2.0-dev GIT [master: 8694e97f]. Tu es certain que ton installation est à bien jour sur tous les plugins-dist aussi ?

Je n'ai pas rencontré ce problème lors de mes tests et encore à l'instant avec SPIP 4.2.0-dev GIT [master: 8694e97f]. Tu es certain que ton installation est à bien jour sur tous les plugins-dist aussi ?

rastapopoulos commented 7 months ago

Owner

Ouais bizarre le core était à jour mais pas tous les plugins dist. Ça remarche.

Cependant ça reste du coup un "hasard" si ça marche parce que "quelqu'un quelque part a chargé tel fichier en amont"…

Du coup ma remarque sur la solidité des include tant qu'on a pas de loader vaut un peu quand même : hormis utils.php, tout ce qui est thématique (texte, filtres, modeles, lang, etc) devrait être inclus à l'endroit où on l'utilise.

Ouais bizarre le core était à jour mais pas tous les plugins dist. Ça remarche. Cependant ça reste du coup un "hasard" si ça marche parce que "quelqu'un quelque part a chargé tel fichier en amont"… Du coup ma remarque sur la solidité des include tant qu'on a pas de loader vaut un peu quand même : hormis utils.php, tout ce qui est thématique (texte, filtres, modeles, lang, etc) devrait être inclus *à l'endroit où on l'utilise*.

g0uZ commented 2 months ago

Bonjour à tous,

les problèmes remontés ne sont pas pris en compte dans ce refactoring, donc on abouti logiquement aux mêmes problèmes (XSS) que ceux déjà fixé avant, cad :

• recherche google sur : xss html5
• 1er lien : https://html5sec.org/
• 1er motif fourni dans la page :

<form id="test"></form><button form="test" formaction="javascript:alert(1)">X</button>

Ce motif abouti à une injection de code coté privé et coté public.

Bonjour à tous, les problèmes remontés ne sont pas pris en compte dans ce refactoring, donc on abouti logiquement aux mêmes problèmes (XSS) que ceux déjà fixé avant, cad : - recherche google sur : xss html5 - 1er lien : https://html5sec.org/ - 1er motif fourni dans la page : ```<form id="test"></form><button form="test" formaction="javascript:alert(1)">X</button>``` Ce motif abouti à une injection de code coté privé et coté public.

g0uZ commented 2 months ago

Bonjour à tous,

les problèmes remontés ne sont pas pris en compte dans ce refactoring, donc on abouti logiquement aux mêmes problèmes (XSS) que ceux déjà fixé avant, cad :

• recherche google sur : xss html5
• 1er lien : https://html5sec.org/
• 1er motif fourni dans la page :

<form id="test"></form><button form="test" formaction="javascript:alert(1)">X</button>

Ce motif abouti à une injection de code coté privé et coté public.

Pour faire suite à #5271

Peut on profiter de ce refactoring pour élargir la liste des balises HTML filtrées :

• https://git.spip.net/spip/textwheel/src/branch/master/wheels/spip/interdire-scripts.json#L20 : amha vouloir faire une liste est une mauvaise idée dans la mesure ou les navigateurs sont ce qu'ils sont et interprêtent n'importe quoi, proposition : avoir une liste "complète" HTML5 par défaut et en mode parano filtrer <.*)

A voir si le motif d'injection donné ne "profite pas" également de https://git.spip.net/spip/spip/src/branch/master/ecrire/inc/texte_mini.php#L565

Je ne comprend pas pourquoi c'est mieux de faire 2 fois la protection/deprotection des éléments (1 fois dans echapper_html_suspect() et 1 autre fois dans typo/propre) plutot que de s'insérer au bon endroit dans typo() et propre() et le faire 1 seule fois (a la fin comme dans typo() et pas au début comme dans propre()).

Ca devient trèèèèès compliqué de comprendre echapper_html_suspect() dans typo/propre non ?

En espérant aider.

> Bonjour à tous, > > > les problèmes remontés ne sont pas pris en compte dans ce refactoring, donc on abouti logiquement aux mêmes problèmes (XSS) que ceux déjà fixé avant, cad : > > - recherche google sur : xss html5 > - 1er lien : https://html5sec.org/ > - 1er motif fourni dans la page : > > ```<form id="test"></form><button form="test" formaction="javascript:alert(1)">X</button>``` > > Ce motif abouti à une injection de code coté privé et coté public. > Pour faire suite à https://git.spip.net/spip/spip/pulls/5271#issuecomment-46651 Peut on profiter de ce refactoring pour élargir la liste des balises HTML filtrées : - https://git.spip.net/spip/textwheel/src/branch/master/wheels/spip/interdire-scripts.json#L20 : amha vouloir faire une liste est une mauvaise idée dans la mesure ou les navigateurs sont ce qu'ils sont et interprêtent n'importe quoi, proposition : avoir une liste "complète" HTML5 par défaut et en mode parano filtrer <.*) A voir si le motif d'injection donné ne "profite pas" également de https://git.spip.net/spip/spip/src/branch/master/ecrire/inc/texte_mini.php#L565 Je ne comprend pas pourquoi c'est mieux de faire 2 fois la protection/deprotection des éléments (1 fois dans echapper_html_suspect() et 1 autre fois dans typo/propre) plutot que de s'insérer au bon endroit dans typo() et propre() et le faire 1 seule fois (a la fin comme dans typo() et pas au début comme dans propre()). Ca devient trèèèèès compliqué de comprendre echapper_html_suspect() dans typo/propre non ? En espérant aider.

Reviewers

b_b approved these changes 7 months ago

The pull request has been merged as a3cb859602.

Sign in to join this conversation.

Reviewers

Request review

No reviewers

b_b

Labels

Apply labels

Clear labels

accessibilité amélioration
Amélioration, nouvelle fonctionnalité APIs authentification base de données bug
Ca ne fonctionne pas code généré compilo css divers documentation doublon
Ce ticket est un doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide
Ticket invalide javascript langues LDAP plugin PostgreSQL refusé
Ignoré, c'est comme Ca... sécurité traduction

No Label accessibilité amélioration APIs authentification base de données bug code généré compilo css divers documentation doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide javascript langues LDAP plugin PostgreSQL refusé sécurité traduction

Milestone

Set milestone

Clear milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Assign users

Clear assignees

No Assignees

5 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

This pull request currently doesn't have any dependencies.

Write Preview

Loading…

Cancel

Save

There is no content yet.