spip/ecrire | 7 commits
Par Cerdic, le 6 février 2026 à 15h48min :
fix: inspecter également le contenu si on a des urls de type javascript, y compris un peu cachée
Modifié
inc/texte_mini.php
==============================
Par Cerdic, le 6 février 2026 à 15h47min :
fix: inspecter également le contenu si il y a un attribut formaction
Modifié
inc/texte_mini.php
==============================
Par Cerdic, le 6 février 2026 à 15h46min :
refactor: split + spip_htmlspecialchars pour afficher_html_suspect() c’est plus propre que les bidouilles précédentes
Modifié
inc/texte_mini.php
==============================
Par Cerdic, le 6 février 2026 à 14h33min :
fix: securiser l’affichage des iframe eventuelles soit par echappement soit par sandboxing selon les cas
Modifié
inc/texte_mini.php
==============================
Par Cerdic, le 6 février 2026 à 14h26min :
fix utiliser un stripos sur on plutot qu’un str_contains pour ne pas etre sensible a la casse
Modifié
inc/texte_mini.php
==============================
Par Cerdic, le 6 février 2026 à 14h23min :
refactor: une fonction afficher_html_suspect() pour assurer le rendu du html suspect echappé avec un wrap eventuel et le signe danger devant
Modifié
inc/texte_mini.php
==============================
Par Cerdic, le 6 février 2026 à 14h20min :
feat: la fonction safehtml() accepte un tableau d’options en second argument, vide par defaut, que l’on passe a inc_safehml_dist() (ou fonction surchargee)
Modifié
inc/texte_mini.php