[spip ↪ 3.2] 2 commits

spip/spip | 2 commits

Par Cerdic, le 6 octobre 2021 à 14h38min :

Balise #FORMULAIRE : nettoyer du code mort qui ne sert plus, ameliorer la securite en ajoutant une signature des arguments du formulaire dès que l’auteur identifié.
A la reception on refuse un formulaire non signé si on a une session ou un formulaire signé si on a pas de session. Si on a une session, la signature doit etre identique.
En absence de session on ne signe pas les arguments du formulaire car tout le monde a le droit de l’afficher, et ca permet de garder un cache identique commun a tous les hits anonymes (perf issue)

Modifié
ecrire/balise/formulaire_.php
ecrire/public/aiguiller.php
ecrire/public/balises.php

Détails : Balise #FORMULAIRE : nettoyer du code mort qui ne sert plus, ameliorer la securite en ajoutant une signature des arguments du formulaire dès que l'auteur identifié. · fea5b5b450 - spip - SPIP on GIT

==============================
Par Cerdic, le 6 octobre 2021 à 17h37min :

Nom, nom_site et bio etant des champs librement modifiables par les utilisateurs, on les protege comme des forums, via safehtml
L’impact perf est reduit ici car dans les listes d’auteur seul le nom apparait, lequel ne contient en general pas de < ce qui passe tres vite dans safehtml

Modifié
ecrire/public/interfaces.php

Détails : Nom, nom_site et bio etant des champs librement modifiables par les utilisateurs, on les protege comme des forums, via safehtml · 361cc26080 - spip - SPIP on GIT