Re: [sympa-fr] éditeur de modèles

[David Verdin <adresse@cachée>]

Bonjour,

Jean-Michel Beuken a écrit :
> Bonjour,
>
> je suis listmaster d'un domaine (virtualhost) sur un serveur tournant Sympa 
> 5.4
>
> afin de personnaliser mes modèles propre à mon "robot", j'ai essayé de
> copier des modèles
> définis (soit en distrib, soit en site) vers mon robot...
>
> pour quelques modèles, je n'ai pas eu de problémes...
>
> par contre, pour main.tt2 ( ou setlang.tt2), apres copie, mon site etait
> inaccessible : erreur de parsing :
>
> file error - parse error - main.tt2 line 47: unexpected token (&)
>   [% PROCESS "${action}.tt2" IF action %]
>
>
> j'ai du demander au listmaster du serveur, de supprimer le fichier main.tt2 du
> repertoire du robot...
>
> est-ce normal ?  et si oui, existe-t-il des règles (de dépendances, par
> exemple) à repecter avant de copier des modèles ?
>   
Félicitations ! Vous avez trouvé un bug !
Il n'ya pas de règle nouvelle dans l'édition des templates. En revanche, 
avant d'éditer un template, Sympa le copiait à son nouvel emplacement... 
après avoir échappé le HTML (en transformant "<" en "&lt;", par 
exemple). Par conséquent, lors de l'affichage de la page d'édition, le 
nouveau template utilisé avait un contenu incompréhensible. Dans le cas 
de "setlang.tt2", qui est affiché dans toutes les pages (y compris la 
page d'édition de templates, donc) c'était bien entendu problématique.
Nous avons corrigé cette erreur. Voici le patch: 
http://sourcesup.cru.fr/viewvc/viewvc/branches/sympa-5.4-branch/wwsympa/wwsympa.fcgi?r1=4903&r2=4926

> d'autre part, j'ai migré mon ancien site (en 4.1.2) vers ce site 5.4.   J'ai
> remarque que la description d'une liste, qui contenant du javascript n'est 
> plus
> bien interprete alors qu'avant ca fonctionnait bien... : y-a-t'il de nouvelles
> regles (et/ou syntaxe) concernant le javascript ?
>
> par exemple, ceci s'afficherait comme il faut ds la version 4.1.2
> -------------------------------------
> Please contact <script type="text/javascript">
> //<![CDATA[
> var b5="";for(var
> z6=0;z6<758;z6++)b5+=String.fromCharCode((".%~!m7H#rOyzM`[dkB(&G&Dqnbk\\DlVv\\7CPpRg\\KDU\"`GnnE,SHW[oVqsf33L+GPXys7auT#/q@C2#-gzO}EL%5L[#ETMDTgnjE>C2E\\EAH?y=xM9XCS]co:TUkPf!r\\WIivt;P39@u(3TEYV9\"dO8plshrnwiRQ[+]eiJFUyp}nrzQQ]\'7lWNiwXeg\'\"v&gJezLXHEUyN`hWj^\\\"YGxq3=nO{uVLrERqz:oiSFZzVH_ZW:n]K]]x:+xWGr23Tk[.^cftJ\\kyBpTK!=ukTF1bZMQPjml7VP{UwJLkWw\"d`>tL8vb\\KP5bfDQQty+@VQ{RvDL]Zt!fZ5gX0t(fucvHX6zNR:iZFD>c]CaNniu;_]|MxQN`br{g[5kZI7_ZGD;bWCSQkhw5VP)j%TZ]Vn
> aZ8lUQ;TI{pwN3IU<9FmcSCMosmY[NPxIJI{+\\[1j3ygC3EP@7rh4VBsfhzyEpF`BWtD>6Ph.XESWdFZ@VVUdktye6t`tj!iiq_b}$5hKTXUWgg}pczgZ~EJx~u)wf}!~8H5>{3=B5><,45DB0&tnC+z94vsevzPk8&V:djb}Bv)}70/L=297@7}E1joipySl3s6/diotIu9|<2?03J>758
> .x;/zpej)f*4o5/nicsDy/!B,3*7_KH8
> l73tohk$Ti)o4<epb$C~/)95A+/>{<1JXu$kol>}6{nEilsEpgj/l|????Y;:uo??CC**8@:/gm\'@7=*/=o}os2z;4v%ey\"w)A.47F@L".charCodeAt(z6)-"FR;010:0102465?000=R>A>2004:035:42000=170@196=69=152>25<40@104?".charCodeAt(z6%(0x3f))+23+87)%(40+55)+7*3+11);eval(b5)
> //]]>
> </script> for further information.
> -------------------------------------
>   
Nouveauté de la version 5.4 : le protection anti XSS.
Certaines pages particulièrement sensibles (comme la page d'accueil 
d'une liste par exemple) voient leur contenu filtré avant l'affichage. 
Notamment, les langages de script y sont proscrits.
En gros, ça revient à empècher les propriétaires de liste de faire plus 
qu'un peu de mise en page. Cette fonctionnalité a été mise en place 
suite à des demandes d'utilisateurs qui ne pouvaient pas faire 
complètement confiance à tous lesurs propriétaires de liste.
Si vous êtes listmaster, vous avez bien su toujours la possibilité 
d'insérer du javascript directement dans les templates.

Cordialement,
> merci
>
> jmb
>   

--
David Verdin
Comité réseau des universités