Development #21317
Ne pas échapper par défaut ce qui est envoyé dans des webservices
Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
-
Début:
22 janvier 2018
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Description
Aujourd'hui on tape {{form_var_plop}} dans un appel webservice et le contenu se trouve transmis échappé comme pour de l'affichage dans de l'HTML. Je dirais que ça n'est pas désiré.
Fichiers
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a plus de 6 ans
- Fichier 0001-workflows-do-not-use-django-templating-by-default-in.patch 0001-workflows-do-not-use-django-templating-by-default-in.patch ajouté
- Statut changé de Nouveau à En cours
- Patch proposed changé de Non à Oui
De manière plus générale, tout ce qui est "compute" ne devrait pas être sujet à cet échappement. (à mon avis)
Mis à jour par Thomas Noël il y a plus de 6 ans
Ack.
Étonné que les tests n'aient pas eu besoin de bouger plus que ça... Pour mes souvenirs persos, voudrais-tu intercaler cette ligne ?
168 assert item.compute('{{ form_var_foo }}') == '<b>hello</b>' 169 assert item.compute('{{ form_var_foo|safe }}') == '<b>hello</b>' # autoescape off, |safe is implicit 170 assert item.compute('{{ form_var_foo|escape }}') == '<b>hello</b>'
(mais ack avec ou sans, donc)
Mis à jour par Frédéric Péters il y a plus de 6 ans
- Statut changé de En cours à Résolu (à déployer)
Poussé avec des commentaires supplémentaires.
commit f97734c48b90ed56a0161fd4ab8ff0fe75da1173 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Mon Jan 22 13:06:59 2018 +0100 workflows: do not use django templating by default in workflows (#21317)
Mis à jour par Frédéric Péters il y a plus de 5 ans
- Statut changé de Résolu (à déployer) à Solution déployée
workflows: do not use django templating by default in workflows (#21317)