-
cedric@yterium.com a rédigé
Retour sur r92321 trop strict avec les iframe (on ne pouvait plus embed des videos) et trop laxiste avec bien d'autres balises On modifie l'approche, toute balise iframe, embed, object, img, image, body, bgsound, meta avec une url contenant : (mais hors ://, donc on vise data: et javascript:) est echappe idem si une de ces balises contient un "on" (attribut onxxx), on l'echappe si elle ne passe pas dans safehtml Ainsi on reduit les appels (lourds) a safehtml au maximum et on echappe tout ce qui est suspect, mais en laissant passer des embed licites comme avant
cebdbf82