Changeset 92234 in spip-zone


Ignore:
Timestamp:
Oct 10, 2015, 8:33:35 AM (4 years ago)
Author:
cedric@…
Message:

Report de http://core.spip.org/projects/spip/repository/revisions/22428 et http://core.spip.org/projects/spip/repository/revisions/22429 : Fix https://core.spip.net/issues/3371 dans la fonction typo, si un flag espace_prive=1 est present dans le env, on echappe tout html suspect, ie qui ne passe pas a travers safehtml sans censure. Pour limiter l'impact perfo on conditionne l'echappement a la presence des caracteres < et = dans le texte, c'est a dire une balise avec un attribut, ce qui ne traitera donc quasiment aucun contenu par defaut, sauf quelques rares <span lang='en'> ou autre curiosite de ce type

Location:
_core_/plugins/textwheel
Files:
2 edited

Legend:

Unmodified
Added
Removed
  • _core_/plugins/textwheel/inc/texte.php

    r92132 r92234  
    207207                $connect = '';
    208208                $interdire_script = true;
     209                $env['espace_prive'] = 1;
    209210        }
    210211
     
    234235        if ($interdire_script)
    235236                $letexte = interdire_scripts($letexte);
     237
     238        // Dans l'espace prive on se mefie de tout contenu dangereux
     239        // https://core.spip.net/issues/3371
     240        if (isset($env['espace_prive']) AND $env['espace_prive']){
     241                $letexte = echapper_html_suspect($letexte);
     242        }
    236243
    237244        return $letexte;
  • _core_/plugins/textwheel/paquet.xml

    r92132 r92234  
    22        prefix="tw"
    33        categorie="edition"
    4         version="1.3.5"
     4        version="1.3.6"
    55        etat="stable"
    66        compatibilite="[3.0.0;3.1.*]"
Note: See TracChangeset for help on using the changeset viewer.