Bug #10194
comportement quand le module feedparser (pour _sanitizeHTML) est absent
0%
Description
dans le WysiwygTextWidget on fait :
if _sanitizeHTML: self.value = _sanitizeHTML(self.value, get_request().charset, 'text/html') else: self.value = str(htmlescape(self.value))
mais ça fait que le résultat si _sanitizeHTML est absent est trop quoté :
>>> print str(htmlescape('<p>hello</p>')) <p>hello</p>
C'était fait volontairement pour éviter qu'on puisse taper n'importe quoi comme HTML mais ce n'est pas terrible comme comportement; on pourrait ne pas afficher le ckeditor et considérer que l'html n'est pas géré dans ce cas, ou prendre la valeur comme elle vient.
Fichiers
Révisions associées
Historique
Mis à jour par Thomas Noël il y a environ 8 ans
prendre la valeur comme elle vient.
y'a un risque ?
Mis à jour par Frédéric Péters il y a environ 8 ans
y'a un risque ?
Il doit y avoir moyen que d'ouvrir ou fermer trop de <div> et que le résultat soit que le formulaire de login n'apparaisse pas. (on peut dire qu'il l'aura bien cherché)
Mis à jour par Thomas Noël il y a environ 8 ans
Ok, pas de risque de sécurité (i.e. on n'utilise nulle part ça pour gérer du html saisi par un inconnu). Je dirais donc que oui, « prendre la valeur comme elle vient ».
Mis à jour par Frédéric Péters il y a environ 8 ans
- Fichier 0001-misc-don-t-escape-html-if-_sanitizeHTML-is-absent-10.patch 0001-misc-don-t-escape-html-if-_sanitizeHTML-is-absent-10.patch ajouté
- Statut changé de Nouveau à En cours
- Patch proposed changé de Non à Oui
Mis à jour par Frédéric Péters il y a environ 8 ans
- Fichier 0001-misc-don-t-escape-html-if-_sanitizeHTML-is-absent-10.patch 0001-misc-don-t-escape-html-if-_sanitizeHTML-is-absent-10.patch ajouté
Avec changement au test qui vérifiait qu'on échappait bien le texte…
Mis à jour par Frédéric Péters il y a environ 8 ans
- Statut changé de En cours à Résolu (à déployer)
commit b187f5b23e2bcfa11e40e335eaed7e3c30509955 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Fri Mar 4 11:02:25 2016 +0100 misc: don't escape html if _sanitizeHTML is absent (#10194)
misc: don't escape html if _sanitizeHTML is absent (#10194)