encore une question sur l’éditeur et sur l’attribut style (Créer un compte)

Accueil Forums WordPress encore une question sur l’éditeur et sur l’attribut style
  • Statut : non résolu
6 sujets de 1 à 6 (sur un total de 6)
  • Auteur
    Messages
  • 6 janvier 2007 à 0 h 55 min #449975
    quentin
    Membre
    Chevalier WordPress
    314 contributions

    Par défaut, il semble que l’attribut « style » ne fonctionne sur aucun tag dans l’éditeur. Enfin pour etre plus exact il fonctionne dans l’éditeur mais quand on sauvegarde l’article il est supprimé.

    Y a-t-il une raison fondamentale à cela ? J’imagine que c’est pour la sécurité (on peut faire tourner du javascript via « style » interposé) ? Que faudrait-il faire pour l’autoriser, ou l’autoriser partiellement (seulement certains attributs CSS) ? Comment faire sans cela pour changer la couleur de fond d’un texte ?

    6 janvier 2007 à 12 h 15 min #588153
    AmO
    Participant
    Maître WordPress
    4443 contributions
    quentin wrote:
    Par défaut, il semble que l’attribut « style » ne fonctionne sur aucun tag dans l’éditeur. Enfin pour etre plus exact il fonctionne dans l’éditeur mais quand on sauvegarde l’article il est supprimé.

    Y a-t-il une raison fondamentale à cela ? J’imagine que c’est pour la sécurité (on peut faire tourner du javascript via « style » interposé) ? Que faudrait-il faire pour l’autoriser, ou l’autoriser partiellement (seulement certains attributs CSS) ? Comment faire sans cela pour changer la couleur de fond d’un texte ?

    Comme d’habitude, il faut regarder du coté du JS de l’éditeur… (enfin je pense)
    Je vais jetter un coup d’oeil dans l’aprem.

    Nan y’a pas de risque de sécurité… en fait le problème viendrai plus des copier coller depuis Word and Co avec leur balise de style etc…

    6 janvier 2007 à 13 h 50 min #588154
    quentin
    Membre
    Chevalier WordPress
    314 contributions

    mmm je ne suis pas si sur qu’il n’y ait pas de problème de sécurité… si j’écrits ca:
    background-image: url(‘javascript:alert(message);’)
    dans un style et que j’ouvre la page dans IE, le javascript est exécuté. Si l’utilisateur peut mettre du javascript, ca veut dire qu’il y a danger (js forgery). Ca veut dire que pour utiliser style, il faudrait faire passer son contenu dans la moulinette anti script de MU j’imagine.

    6 janvier 2007 à 22 h 19 min #588155
    AmO
    Participant
    Maître WordPress
    4443 contributions

    c’est débile ce truc :s

    7 janvier 2007 à 2 h 03 min #588156
    quentin
    Membre
    Chevalier WordPress
    314 contributions

    vi mais c’est dangereux ! une facétie à IE. Dans le meme genre, quand on fait un script qui check le tag « javascript » dans une chaine de code HTML, il faut se méfier car par exemple:

    javasc
    ript:alert(‘yo’)

    fonctionne dans IE malgré le retour chariot au milieu du mot. Du coup si on cherche seulement la présence de la chaine « javascript », bah c’est raté 🙂.

    7 janvier 2007 à 10 h 45 min #588157
    AmO
    Participant
    Maître WordPress
    4443 contributions

    Intéressant 🙂

    Mais jpense qu’on peut quand même faire une regexp

  • Auteur
    Messages
6 sujets de 1 à 6 (sur un total de 6)
  • Vous devez être connecté pour répondre à ce sujet.