Changeset 106234 in spip-zone


Ignore:
Timestamp:
Sep 13, 2017, 9:13:41 AM (2 years ago)
Author:
cedric@…
Message:

Complement de https://core.spip.net/projects/spip/repository/revisions/23701 pour https://core.spip.net/issues/3371 : on appelle la fonction echapper_html_suspect() sur les contenus qui passent dans propre() si on est dans l'espace prive (repere par espace_prive ou wysiwyg dans le env ou le flag automatique interdire_script leve en cas d'appel a propre() depuis du code php

Location:
_core_/plugins/textwheel
Files:
2 edited

Legend:

Unmodified
Added
Removed
  • _core_/plugins/textwheel/inc/texte.php

    r103193 r106234  
    759759        $t = pipeline('pre_echappe_html_propre', $t);
    760760
     761        // Dans l'espace prive on se mefie de tout contenu dangereux
     762        // avant echappement des balises <html>
     763        // https://core.spip.net/issues/3371
     764        if ($interdire_script
     765                or (isset($env['espace_prive']) and $env['espace_prive'])
     766                or (isset($env['wysiwyg']) and $env['wysiwyg'])) {
     767                $t = echapper_html_suspect($t, false);
     768        }
    761769        $t = echappe_html($t);
    762770        $t = expanser_liens($t, $connect, $env);
  • _core_/plugins/textwheel/paquet.xml

    r105479 r106234  
    22        prefix="tw"
    33        categorie="edition"
    4         version="1.5.0"
     4        version="1.5.1"
    55        etat="stable"
    66        compatibilite="[3.2.0-dev;3.2.*]"
Note: See TracChangeset for help on using the changeset viewer.