Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] Balises html autorisées pour les infos des listes.

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Re: [sympa-fr] Balises html autorisées pour les infos des listes.

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: David Verdin <adresse@cachée>
  • To: adresse@cachée
  • Subject: Re: [sympa-fr] Balises html autorisées pour les infos des listes.
  • Date: Wed, 16 Nov 2011 16:48:45 +0100
Bonjour,

en effet, pour prévenir les risques de XSS, Sympa a été modifié pour limiter grandement le HTML pouvant être injecté par les utilisateurs finaux.
Le problème, c'est que la structure du module utilisé pour échapper le HTML rend complexe la mise en paramètres des balises autorisées.

Les balises de formatage classiques (h1, b, i, ul, etc.) sont normalement autorisées.
L'ensemble des balises pouvant faire référence à une source extérieure (utilisant les attributs src ou href, par exemple) sont échappés, sauf s'ils trouvent leur source dans le même domaine que le serveur de listes lui-même.
Je suis conscient que c'est un peu brutal mais ça permet tout de même une personnalisation de la page d'accueil de la liste, même si les références externes sont interdites.

Actuellement, le seul moyen de modifier ce comportement est d'éditer, dans le fichier bin/tools.pm, le contenu de la fonction _create_xss_parser.

Les règles d'échappement sont dans le fragment :

    my $hss = HTML::StripScripts::Parser->new({ Context => 'Document',
                        AllowSrc        => 1,
                        Rules => {
                            '*' => {
                            src =">" '^http://'.&Conf::get_robot_conf($parameters{'robot'},'http_host'),
                            },
                        },
                        });

On peut l'éditer en se référant à la doc du module HTML::Stripscripts : http://search.cpan.org/~drtech/HTML-StripScripts-Parser-1.03/Parser.pm

Rien de mieux pour le moment, donc, mais je (re)note qu'il faut trouver un moyen de configurer cela via les fichiers de config.

Bien cordialement,

David Verdin

Le 06/11/11 18:47, Gauthier Catteau a écrit :
adresse@cachée"> 
Bonjour,

Un ami me signale qu'il n'est plus possible de mettre des liens html
dans les infos des listes depuis le passage en version 6.x.

En effet le code est nettoyé.
Il ne reste que "<a> mon lien </a>" alors que j'ai saisi "<a
href=""http://www.sympa.org> mon lien </a>".

Est-il possible de modifier ce comportement ? Si oui comment ?
Quelles sont les balises autorisées dans les infos des listes ?

Merci
--
Gauthier Catteau

--
David Verdin
RENATER
Le CRU est maintenant rattaché à RENATER.
CRU is now attached to RENATER

Requests for Sympa: please use the the Sympa tracker

Archives gérées par MHonArc 2.6.19+.

Haut de le page