Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
Re: [sympa-fr] Balises html autorisées pour les infos des listes.
- From: David Verdin <adresse@cachée>
- To: adresse@cachée
- Subject: Re: [sympa-fr] Balises html autorisées pour les infos des listes.
- Date: Wed, 16 Nov 2011 16:48:45 +0100
Bonjour, en effet, pour prévenir les risques de XSS, Sympa a été modifié pour limiter grandement le HTML pouvant être injecté par les utilisateurs finaux. Le problème, c'est que la structure du module utilisé pour échapper le HTML rend complexe la mise en paramètres des balises autorisées. Les balises de formatage classiques (h1, b, i, ul, etc.) sont normalement autorisées. L'ensemble des balises pouvant faire référence à une source extérieure (utilisant les attributs src ou href, par exemple) sont échappés, sauf s'ils trouvent leur source dans le même domaine que le serveur de listes lui-même. Je suis conscient que c'est un peu brutal mais ça permet tout de même une personnalisation de la page d'accueil de la liste, même si les références externes sont interdites. Actuellement, le seul moyen de modifier ce comportement est d'éditer, dans le fichier bin/tools.pm, le contenu de la fonction _create_xss_parser. Les règles d'échappement sont dans le fragment : my $hss = HTML::StripScripts::Parser->new({ Context => 'Document', AllowSrc => 1, Rules => { '*' => { src =">" '^http://'.&Conf::get_robot_conf($parameters{'robot'},'http_host'), }, }, }); On peut l'éditer en se référant à la doc du module HTML::Stripscripts : http://search.cpan.org/~drtech/HTML-StripScripts-Parser-1.03/Parser.pm Rien de mieux pour le moment, donc, mais je (re)note qu'il faut trouver un moyen de configurer cela via les fichiers de config. Bien cordialement, David Verdin Le 06/11/11 18:47, Gauthier Catteau a écrit : adresse@cachée">Bonjour, Un ami me signale qu'il n'est plus possible de mettre des liens html dans les infos des listes depuis le passage en version 6.x. En effet le code est nettoyé. Il ne reste que "<a> mon lien </a>" alors que j'ai saisi "<a href=""http://www.sympa.org> mon lien </a>". Est-il possible de modifier ce comportement ? Si oui comment ? Quelles sont les balises autorisées dans les infos des listes ? Merci -- Gauthier Catteau |
-
[sympa-fr] Balises html autorisées pour les infos des listes.,
Gauthier Catteau, 06/11/2011
- Re: [sympa-fr] Balises html autorisées pour les infos des listes., David Verdin, 16/11/2011
Archives gérées par MHonArc 2.6.19+.