Produits Entr'ouvert » w.c.s.

formdata.data = {'0': 'FOO BAR', '1': upload}

Faut faire un test avec {'0': '<font color="red">FOO BAR</font>'}. Et tant qu'à faire, user.name = '<font color="red">Jean Darmette</font>'.

Et pour la forme du js, cf mon commentaire 34 dans #21034.

assert field['html_value'] == username

Ça ne devrait pas marcher, ça devrait échouer sur username = '<font color="red">Jean Darmette</font>'.

Tu n'as visiblement pas encore compris le fond du problème; ici w.c.s. doit poser dans html_value du code qui va pouvoir être inséré en tant qu'HTML.

Frédéric Péters a écrit :

assert field['html_value'] == username

Ça ne devrait pas marcher, ça devrait échouer sur username = '<font color="red">Jean Darmette</font>'.

Tu n'as visiblement pas encore compris le fond du problème; ici w.c.s. doit poser dans html_value du code qui va pouvoir être inséré en tant qu'HTML.

Ok possible. Dans ce cas il faudrait m'expliquer pour que je comprenne.
Est ce que formdata.get_field_view_value n'est pas censé me renvoyer la valeur html d'un champ quand un max_length est passé ?

Tu testes que assert field['html_value'] username

D'une lecture du test, sauf erreur, ça fait '<font color="red">Jean Darmette</font>' '<font color="red">Jean Darmette</font>'.

Mais les propriétés html_value, il faut dedans du contenu pour lequel le client (javascript) soit sûr que le contenu est de l'HTML bien contrôlé, pas le '<script>alert("hello");</script>" posé comme prénom pour rigoler.

(je crains que tu ne comprennes toujours pas mais ça fait quatre mois que je n'arrive visiblement pas à expliquer).

Espoir du matin.

Pour reprendre dans l'autre sens, l'affichage par le client (javascript) des propriétés doit se faire en utilisant .text(la valeur de la propriété). Pour permettre de l'affichage plus évolué, w.c.s. décide dans ce ticket d'également fournir avec les champs une seconde valeur, que w.c.s. garantit comme pouvant être passée sans risque à .html(...).

"Sans risque" ça veut dire que M. <script>alert('hello');</script>, quand son nom est affiché, ne lève pas une alerte javascript.

Plutôt que fournir displayed_fields comme étant [(libellé, valeur), ...], ce ticket demande ainsi pour displayed_fields la structure suivante :

{
  "label": "le libellé du champ",
  "value": "la valeur du champ exploitable via .text(...)",
  "html_value"; "la valeur du champ exploitable via .html(...)" 
}

Avec les exemples tout à fait nécessaires,

{
 "label": "nom",
 "value": "<script>alert('hello');</li>',
 "html_value": "&lt;script&gt;alert('hello');&lt;lt;/script&gt;" 
}

et

{
 "label": "fichier",
 "value": "plop.pdf",
 "html_value": "<a href=...>plop.pdf</a>" 
}

Ça approche mais non sur if field.type == 'file':, les spécificités doivent au maximum être gérées au niveau des classes des champs, il ne doit pas y avoir de condition sur le type de champ.

'label': field.label, et $f_label = $('<span class="field-label">').html(field.label);, tu considères le libellé comme de l'HTML safe, ce n'est pas ce qu'on fait ailleurs. (essaie d'ajouter un champ <i>toto</i>, tu verras les balises apparaitre, pas le texte en italique.

wcs/qommon/static/js/qommon.map.js parfois tu termines les lignes par des point-virgules, parfois pas. Et on positionne le else sur la même ligne que les accolades.

La partie js m'a l'air bien compliquée (genre devoir réfléchir à ce qui peut bien se trouver dans $popup_field⁰.outerHTML).

Je proposerais plutôt :

var $popup_field = $('<p class="popup-field"><span class="field-label"></span><span class="field-value"></span></p>');
$popup_field.find('field-label').text(field.label);
if (field.html_value) {
  $popup_field.find('field-value').html(field.html_value);
else {
  $popup_field.find('field-value').text(field.value);
}
popup += $popup_field.html();

Ce dernier js me semble avoir été copié/collé sans tester. (il faut un <div> autour du contenu de $popup_field, pour que le .html() en prennent aussi le <p>).

                   var $popup_field = $('<div><p class="popup-field"><span class="field-label"></span><span class="field-value"></span></p></div>');

(à ne pas copier/coller sans tester)

pour ensuite chercher dédans l'element pour placer le libellé et puis la valeur. Et ensuite le reconvertir en chaîne. Alors qu'on peut concatener les chaînes, genre:

Nope, ton code va afficher une popup et vider ton compte en banque.

Si tu veux appliquer le patch en local et regarder ce que ça donne chez toi, super. Et Josué si tu peux attacher une capture montrant ce que ça donne chez toi, super aussi.