Projet

Général

Profil

Bug #10194

comportement quand le module feedparser (pour _sanitizeHTML) est absent

Ajouté par Frédéric Péters il y a environ 8 ans. Mis à jour il y a environ 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
v1.36
Début:
04 mars 2016
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:

Description

dans le WysiwygTextWidget on fait :

            if _sanitizeHTML:
                self.value = _sanitizeHTML(self.value, get_request().charset, 'text/html')
            else:
                self.value = str(htmlescape(self.value))

mais ça fait que le résultat si _sanitizeHTML est absent est trop quoté :

>>> print str(htmlescape('<p>hello</p>'))
&lt;p&gt;hello&lt;/p&gt;

C'était fait volontairement pour éviter qu'on puisse taper n'importe quoi comme HTML mais ce n'est pas terrible comme comportement; on pourrait ne pas afficher le ckeditor et considérer que l'html n'est pas géré dans ce cas, ou prendre la valeur comme elle vient.

Fichiers

0001-misc-don-t-escape-html-if-_sanitizeHTML-is-absent-10.patch (894 octets) 0001-misc-don-t-escape-html-if-_sanitizeHTML-is-absent-10.patch Frédéric Péters, 04 mars 2016 11:03
0001-misc-don-t-escape-html-if-_sanitizeHTML-is-absent-10.patch (1,72 ko) 0001-misc-don-t-escape-html-if-_sanitizeHTML-is-absent-10.patch Frédéric Péters, 04 mars 2016 11:35

Révisions associées

Révision b187f5b2 (diff)
Ajouté par Frédéric Péters il y a environ 8 ans

misc: don't escape html if _sanitizeHTML is absent (#10194)

Historique

#1

Mis à jour par Thomas Noël il y a environ 8 ans

prendre la valeur comme elle vient.

y'a un risque ?

#2

Mis à jour par Frédéric Péters il y a environ 8 ans

y'a un risque ?

Il doit y avoir moyen que d'ouvrir ou fermer trop de <div> et que le résultat soit que le formulaire de login n'apparaisse pas. (on peut dire qu'il l'aura bien cherché)

#3

Mis à jour par Thomas Noël il y a environ 8 ans

Ok, pas de risque de sécurité (i.e. on n'utilise nulle part ça pour gérer du html saisi par un inconnu). Je dirais donc que oui, « prendre la valeur comme elle vient ».

#4

Mis à jour par Frédéric Péters il y a environ 8 ans

#5

Mis à jour par Frédéric Péters il y a environ 8 ans

Avec changement au test qui vérifiait qu'on échappait bien le texte…

#6

Mis à jour par Thomas Noël il y a environ 8 ans

Ack

#7

Mis à jour par Frédéric Péters il y a environ 8 ans

  • Statut changé de En cours à Résolu (à déployer)
commit b187f5b23e2bcfa11e40e335eaed7e3c30509955
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Fri Mar 4 11:02:25 2016 +0100

    misc: don't escape html if _sanitizeHTML is absent (#10194)
#8

Mis à jour par Thomas Noël il y a environ 8 ans

  • Version cible mis à v1.36
#9

Mis à jour par Thomas Noël il y a environ 8 ans

  • Statut changé de Résolu (à déployer) à Fermé

Formats disponibles : Atom PDF