Browse Source

Complement de https://core.spip.net/projects/spip/repository/revisions/23701 pour https://core.spip.net/issues/3371 : on appelle la fonction echapper_html_suspect() sur les contenus qui passent dans propre() si on est dans l'espace prive (repere par espace_prive ou wysiwyg dans le env ou le flag automatique interdire_script leve en cas d'appel a propre() depuis du code php

svn/root/tags/plugins/textwheel/1.5.1 v1.5.1
cedric@yterium.com 4 years ago
parent
commit
27b962c25b
  1. 8
      inc/texte.php
  2. 4
      paquet.xml

8
inc/texte.php

@ -758,6 +758,14 @@ function propre($t, $connect = null, $env = array()) {
$t = pipeline('pre_echappe_html_propre', $t);
// Dans l'espace prive on se mefie de tout contenu dangereux
// avant echappement des balises <html>
// https://core.spip.net/issues/3371
if ($interdire_script
or (isset($env['espace_prive']) and $env['espace_prive'])
or (isset($env['wysiwyg']) and $env['wysiwyg'])) {
$t = echapper_html_suspect($t, false);
}
$t = echappe_html($t);
$t = expanser_liens($t, $connect, $env);

4
paquet.xml

@ -1,7 +1,7 @@
<paquet
prefix="tw"
categorie="edition"
version="1.5.0"
version="1.5.1"
etat="stable"
compatibilite="[3.2.0-dev;3.2.*]"
logo="textwheel-32.png"
@ -23,4 +23,4 @@
<utilise nom="yaml" compatibilite="[1.5.2;]" />
<utilise nom="memoization" compatibilite="[1.5.4;]" />
</paquet>
</paquet>
Loading…
Cancel
Save