encore une question sur l’éditeur et sur l’attribut style (Créer un compte)

  • Statut : non résolu
6 sujets de 1 à 6 (sur un total de 6)
  • Auteur
    Messages
  • #449975
    quentin
    Membre
    Chevalier WordPress
    315 contributions

    Par défaut, il semble que l’attribut « style » ne fonctionne sur aucun tag dans l’éditeur. Enfin pour etre plus exact il fonctionne dans l’éditeur mais quand on sauvegarde l’article il est supprimé.

    Y a-t-il une raison fondamentale à cela ? J’imagine que c’est pour la sécurité (on peut faire tourner du javascript via « style » interposé) ? Que faudrait-il faire pour l’autoriser, ou l’autoriser partiellement (seulement certains attributs CSS) ? Comment faire sans cela pour changer la couleur de fond d’un texte ?

    #588153
    AmO
    Participant
    Maître WordPress
    4447 contributions
    quentin wrote:
    Par défaut, il semble que l’attribut « style » ne fonctionne sur aucun tag dans l’éditeur. Enfin pour etre plus exact il fonctionne dans l’éditeur mais quand on sauvegarde l’article il est supprimé.

    Y a-t-il une raison fondamentale à cela ? J’imagine que c’est pour la sécurité (on peut faire tourner du javascript via « style » interposé) ? Que faudrait-il faire pour l’autoriser, ou l’autoriser partiellement (seulement certains attributs CSS) ? Comment faire sans cela pour changer la couleur de fond d’un texte ?

    Comme d’habitude, il faut regarder du coté du JS de l’éditeur… (enfin je pense)
    Je vais jetter un coup d’oeil dans l’aprem.

    Nan y’a pas de risque de sécurité… en fait le problème viendrai plus des copier coller depuis Word and Co avec leur balise de style etc…

    #588154
    quentin
    Membre
    Chevalier WordPress
    315 contributions

    mmm je ne suis pas si sur qu’il n’y ait pas de problème de sécurité… si j’écrits ca:
    background-image: url(‘javascript:alert(message);’)
    dans un style et que j’ouvre la page dans IE, le javascript est exécuté. Si l’utilisateur peut mettre du javascript, ca veut dire qu’il y a danger (js forgery). Ca veut dire que pour utiliser style, il faudrait faire passer son contenu dans la moulinette anti script de MU j’imagine.

    #588155
    AmO
    Participant
    Maître WordPress
    4447 contributions

    c’est débile ce truc :s

    #588156
    quentin
    Membre
    Chevalier WordPress
    315 contributions

    vi mais c’est dangereux ! une facétie à IE. Dans le meme genre, quand on fait un script qui check le tag « javascript » dans une chaine de code HTML, il faut se méfier car par exemple:

    javasc
    ript:alert(‘yo’)

    fonctionne dans IE malgré le retour chariot au milieu du mot. Du coup si on cherche seulement la présence de la chaine « javascript », bah c’est raté 🙂.

    #588157
    AmO
    Participant
    Maître WordPress
    4447 contributions

    Intéressant 🙂

    Mais jpense qu’on peut quand même faire une regexp

6 sujets de 1 à 6 (sur un total de 6)
  • Vous devez être connecté pour répondre à ce sujet.